Les attaques visant une vulnérabilité récemment corrigée dans le gestionnaire de fichiers du plugin WordPress se multiplient, prévient l’équipe Wordfence Threat Intelligence de la société de sécurité WordPress Defiant.

Avec plus de 700000 installations actives, File Manager est un plugin WordPress très populaire qui fournit aux administrateurs des capacités de gestion de fichiers et de dossiers (copier / coller, supprimer, télécharger / télécharger, modifier et archiver).

Début septembre 2020, le développeur du plugin a corrigé une faille zero-day de gravité critique qui était déjà activement ciblée. Évaluée avec un score CVSS de 10, la faille peut permettre aux attaquants d’exécuter du code à distance sur une installation vulnérable.

Le problème est lié au code extrait du projet elFinder, les développeurs du gestionnaire de fichiers renommant la bibliothèque elFinder connector.minimal.php.dist fichier en .php, pour qu’il s’exécute directement. Cependant, cela a ouvert le plugin aux attaquants.

Près de deux semaines après la publication d’un correctif pour la vulnérabilité, plusieurs acteurs de la menace ciblent des installations non corrigées, révèlent les chercheurs de Wordfence.

Quelques jours après la correction du jour zéro, les attaquants ciblaient plus de 1,7 million de sites, mais ce nombre est passé à 2,6 millions le 10 septembre.

«Nous avons vu des preuves de la participation de plusieurs acteurs de la menace à ces attaques, y compris des efforts mineurs de l’acteur de la menace auparavant responsable de l’attaque de millions de sites, mais deux attaquants ont le mieux réussi à exploiter des sites vulnérables, et pour le moment, les deux les attaquants protègent par mot de passe les copies vulnérables du fichier connector.minimal.php », note Wordfence.

Le plus actif des attaquants est un acteur de la menace marocain appelé «bajatax», qui modifie les connector.minimal.php fichier pour empêcher de nouvelles attaques. Il s’agit du premier acteur de menace observé ciblant la vulnérabilité à grande échelle.

Une fois qu’il parvient à compromettre un …

Voir la source de cette publication