in

Des millions d'attaques par injection SQL ciblent le plugin WordPress automatique WP –

Des millions d'attaques par injection SQL ciblent le plugin WordPress automatique WP - Trotons Tech Magazine

Une vulnérabilité critique du plugin WP Automatic pour WordPress, actuellement utilisé sur plus de 30 000 sites Web, est devenue la cible de millions d’attaques par injection SQL. Ces attaques visent à créer des comptes d'utilisateurs non autorisés dotés de privilèges administratifs et à installer des portes dérobées pour un accès prolongé.

La faille de sécurité, cataloguée sous le numéro CVE-2024-27956, présente un score de gravité élevé de 9,9 sur 10. Elle a été divulguée publiquement par le service d'atténuation des vulnérabilités PatchStack le 13 mars. La vulnérabilité affecte les versions de WP Automatic antérieures à 3.9.2.0 et découle d'une faille d'injection SQL au sein du mécanisme d'authentification des utilisateurs du plugin. Cela permet aux attaquants de contourner les mesures de sécurité et d'exécuter des requêtes SQL malveillantes directement sur la base de données du site Web.

WPScan d'Automattic, qui suit les vulnérabilités des plugins WordPress, a enregistré plus de 5,5 millions de tentatives d'exploitation de cette vulnérabilité, avec un pic significatif observé le 31 mars. Les attaques réussies permettent aux auteurs d'obtenir un accès administratif, de créer des portes dérobées sophistiquées et de masquer le code malveillant pour échapper à la détection. .

Pour conserver un accès exclusif et éviter la concurrence potentielle d'autres pirates, les attaquants renomment souvent le fichier vulnérable « csv.php ». L'entrée de plugins malveillants supplémentaires est également courante, ce qui facilite encore la manipulation des fichiers et du code sur le site compromis.

A lire également  À l'intérieur du futur : une plongée approfondie dans les principales sociétés d'intelligence artificielle -

WPScan a publié des indicateurs de compromission que les administrateurs peuvent utiliser pour vérifier si leurs sites ont été affectés. Les signes d'une violation incluent des comptes d'administrateur nouvellement créés commençant par « xtw » et la présence de fichiers suspects nommés web.php et index.php. Ces fichiers représentent généralement les portes dérobées utilisées lors des attaques récentes.

Pour se prémunir contre cette menace, les administrateurs doivent mettre à jour le plugin WP Automatic vers la version 3.92.1 ou ultérieure. Il est également conseillé de sauvegarder régulièrement le site Web, permettant une restauration rapide à un état propre en cas de compromission.