Exploitation de Plugin WordPress : Des Attaques Massives Ciblent le Bannière de Consentement aux Cookies

La société de sécurité WordPress, Defiant, a observé des attaques ciblant une exploitation de Cross-Site Scripting (XSS) stockée non autorisée dans un plugin WordPress nommé Beautiful Cookie Consent Banner, qui compte plus de 40 000 installations actives.

Pour commencer, le Cross Site Scripting est un type d’injection dans lequel l’attaquant injecte des scripts malveillants dans des sites Web de confiance. Dans les attaques XSS, l’acteur de la menace envoie un code malveillant, comme dans le script côté navigateur, à un autre utilisateur.

Eh bien, l’effet peut inclure un accès non autorisé à des informations sensibles, la prise de session et des infections par des logiciels malveillants via des redirections vers des sites malveillants ou la compromission totale du système de la victime.

Selon la société de sécurité WordPress, Defiant, l’exploitation en question permet également aux attaquants non autorisés de créer des comptes administrateurs malveillants sur les sites Web qui exécutent des versions de plugin non corrigées (jusqu’à et y compris 2.10.1). La vulnérabilité expliquée dans cette activité a été corrigée en janvier avec la sortie d’une version plus récente, c’est-à-dire 2.10.2.

Lire : CISA Avertit d’un Flaw de Sécurité des Appareils Samsung, Permettant le Contournement de l’ASLR Android

Selon l’analyste des menaces Ram Gall, la vulnérabilité a été activement attaquée depuis le 5 février 2023, mais c’est la plus grande attaque contre elle que nous ayons vue. “Nous avons bloqué près de 3 millions d’attaques contre plus de 1,5 million de sites Web provenant de près de 14 000 adresses IP depuis le 23 mai, et les attaques se poursuivent.“

Malgré la nature à grande échelle de cette activité d’attaque, selon Gall, l’acteur de la menace utilise une exploitation mal configurée qui ne déploierait probablement pas de charge utile même lorsqu’il cible un site WordPress exécutant une version de plugin vulnérable.

Néanmoins, les administrateurs ou les propriétaires de sites Web utilisant un plugin Beautiful Cookie Consent Banner sont conseillés de mettre à jour le plugin vers la dernière version, car une attaque échouée pourrait corrompre la configuration du plugin stockée dans l’option nsc_bar_bannersettings_json.

De plus, les versions de plugin corrigées ont également été mises à jour pour se réparer elles-mêmes dans le cas où les sites Web étaient ciblés.

Bien que la récente vague d’attaques puisse ne pas être en mesure d’injecter une charge utile malveillante, les acteurs de la menace derrière cette activité pourraient rectifier ces problèmes et probablement infecter ceux qui restent exposés.

Lire : L’Acteur de la Menace Exploite Microsoft Azure pour Accéder aux Machines Virtuelles