La vulnérabilité du plugin de sauvegarde WordPress a touché plus de 3 millions d’installations

Publié le 29 juillet 2022 par Mycamer

Un chercheur en sécurité chez Automattic a découvert une vulnérabilité affectant le plugin de sauvegarde WordPress populaire, UpdraftPlus. La vulnérabilité permettait aux pirates de télécharger des noms d’utilisateur et des mots de passe hachés. Automattic appelle cela une “vulnérabilité grave”.

Plug-in de sauvegarde WordPress UpdraftPlus

UpdraftPlus est un plugin de sauvegarde WordPress populaire qui est activement installé sur plus de 3 millions de sites Web.

Le plugin permet aux administrateurs WordPress de sauvegarder leurs installations WordPress, y compris l’intégralité de la base de données qui contient les informations d’identification des utilisateurs, les mots de passe et d’autres informations sensibles.

Les éditeurs comptent sur UpdraftPlus pour respecter les normes de sécurité les plus élevées dans leur plugin en raison de la sensibilité des données sauvegardées avec le plugin.

Vulnérabilité UpdraftPlus

La vulnérabilité a été découverte par un audit mené par un chercheur en sécurité chez Jetpack d’Automattic.

Ils ont découvert deux vulnérabilités jusque-là inconnues.

Le premier était lié à la façon dont les jetons de sécurité UpdraftPlus appelés, nonces, pouvaient être divulgués. Cela a permis à un attaquant d’obtenir la sauvegarde, y compris le nonce.

Selon WordPress, les nonces ne sont pas censés être la principale ligne de défense contre les pirates. Il indique explicitement que les fonctions doivent être protégées en validant correctement qui possède les informations d’identification appropriées (en utilisant la fonction appelée current_user_can()).

WordPress explique:

« Les nonces ne doivent jamais être invoqués pour l’authentification, l’autorisation ou le contrôle d’accès. Protégez vos fonctions en utilisant current_user_can() et supposez toujours que les nonces peuvent être compromis. »

La deuxième vulnérabilité était liée à une mauvaise validation du rôle d’un utilisateur enregistré, précisément ce que WordPress avertit que les développeurs devraient prendre des mesures pour verrouiller les plugins.

La validation incorrecte du rôle d’utilisateur a permis à une personne disposant des données de la vulnérabilité précédente de télécharger l’une des sauvegardes, qui contient bien sûr des informations sensibles.

Jetpack le décrit :

“Malheureusement, la méthode UpdraftPlus_Admin :: maybe_download_backup_from_email, qui est accrochée à admin_init, n’a pas non plus directement validé les rôles des utilisateurs.

Bien qu’il ait appliqué certaines vérifications indirectement, telles que la vérification de la variable globale $pagenow, des recherches antérieures ont montré que cette variable peut contenir des entrées utilisateur arbitraires.

Les mauvais acteurs pourraient utiliser ce point de terminaison pour télécharger des sauvegardes de fichiers et de bases de données en fonction des informations qu’ils ont divulguées à partir du bogue de pulsation mentionné ci-dessus.

La base de données nationale des vulnérabilités du gouvernement des États-Unis avertit qu’UpdraftPlus n’a pas “… correctement validé qu’un utilisateur dispose des privilèges requis pour accéder à l’identifiant nonce d’une sauvegarde, ce qui peut permettre à tout utilisateur disposant d’un compte sur le site (tel qu’un abonné) de télécharger le plus sauvegarde récente du site et de la base de données. »

Mises à jour forcées de WordPress d’UpdraftPlus

La vulnérabilité était si grave que WordPress a pris la décision extraordinaire de forcer les mises à jour automatiques sur toutes les installations qui n’avaient pas encore mis à jour UpdraftPlus vers la dernière version.

Mais il est recommandé aux éditeurs de tenir pour acquis que leur installation a été mise à jour.

Versions concernées d’UpdraftPlus

Les versions gratuites d’UpdraftPlus antérieures à la 1.22.3 et les versions premium d’UpdraftPlus antérieures à la 2.22.3 sont vulnérables à l’attaque.

Il est recommandé aux éditeurs de vérifier qu’ils utilisent la toute dernière version d’UpdraftPlus.

Citations

Lire l’annonce Jetpack

Vulnérabilité grave corrigée dans UpdraftPlus 1.22.3

Lire l’annonce UpdraftPlus

Version de sécurité UpdraftPlus – 1.22.3 / 2.22.3 – veuillez mettre à niveau

Lire la documentation du gouvernement américain sur la vulnérabilité

CVE-2022-0633 Détail



— to www.searchenginejournal.com