Les acteurs de la menace exploitent activement une vulnérabilité zero-day dans le plugin premium WPGateway pour cibler les sites Web WordPress.
L’équipe Wordfence Threat Intelligence a signalé que les acteurs de la menace exploitent activement une vulnérabilité zero-day (CVE-2022-3180) dans le plugin premium WPGateway dans les attaques visant les sites WordPress.
La Passerelle WPG plugin est un plugin premium qui permet aux utilisateurs du service cloud WPGateway de configurer et de gérer des sites WordPress à partir d’un seul tableau de bord.
La CVE-2022-3180 est un problème de sécurité d’escalade de privilèges, un attaquant non authentifié peut déclencher la faille pour ajouter un utilisateur malhonnête avec des privilèges d’administrateur pour prendre complètement le contrôle des sites exécutant le plugin WordPress vulnérable.
“Le 8 septembre 2022, l’équipe Wordfence Threat Intelligence a pris connaissance d’une vulnérabilité zero-day activement exploitée utilisée pour ajouter un utilisateur administrateur malveillant aux sites exécutant le plugin WPGateway.” lit le consultatif publié par Wordfence.
Wordfence a signalé que son pare-feu a bloqué avec succès plus de 4,6 millions d’attaques ciblant cette vulnérabilité contre plus de 280 000 sites au cours des 30 derniers jours.
La société n’a pas partagé de détails techniques sur les attaques pour empêcher une exploitation ultérieure lors d’attaques dans la nature.
De toute façon, la société a partagé des indicateurs de compromission (IoC) pour permettre aux administrateurs WordPress de déterminer si leur site WordPress a été compromis.
L’indicateur de compromission le plus courant est un administrateur malveillant dont le nom d’utilisateur est rangex.
Les administrateurs peuvent également vérifier les journaux d’accès de leur site pour les demandes de
//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1
La présence de ces requêtes dans les journaux indique que les acteurs de la menace ont tenté d’exploiter cette vulnérabilité, mais cela n’implique pas que l’attaque a été compromise avec succès.
“Si le plugin WPGateway est installé, nous vous invitons à le supprimer immédiatement jusqu’à ce qu’un correctif soit disponible et à vérifier les utilisateurs administrateurs malveillants dans votre tableau de bord WordPress”, conclut l’avis.
Suis moi sur Twitter: @affairesdesecurite et Facebook
(Affaires de sécurité – piratage, WordPress)
Partager sur
