Des chercheurs en sécurité ont révélé, mercredi 23 juillet, qu’une vulnérabilité de WordPress ayant déjà touché plus de 50 000 sites pouvait également toucher Joomla et Magento. Un risque « backdoor » assez inquiétant, amené par un plugin compromis.
Au début du mois de Juillet on apprenait qu’une vulnérabilité dans MailPoet, un plugin WordPress avec plus de 1,7 millions de téléchargements, permettait à des pirates de télécharger n’importe quel fichier de leur choix sur des serveurs vulnérables. Selon Daniel Cid, CTO de l’entreprise de sécurité Sucuri, trois semaines plus tard, les attaquants ont exploité le bug en dérobant des donnés sur 30.000 à 50.000 sites, dont certains qui n’ont même pas utilisé le logiciel WordPress ou qui n’ont pas installé MailPoet.
Peter Gramantik, un chercheur de chez Sucuri a d’abord rapporté l’exploitation de masse affectant WordPress. Le malware injecté installe une porte dérobée qui donne aux comptes malveillants le contrôle administratif complet.
Il injecte aussi le code de backdoor dans tous les thèmes et les fichiers de base. Pour empirer les choses, le code malveillant écrase également les fichiers valides, un effet secondaire qui oblige de nombreux sites à afficher un message du type : « Parse error: syntax error, unexpected ‘)’ in / home/user/public_html/site/wp- config.php line 91 « .
Daniel Cid a affirmé que la seule version sécurisée de MailPoet est récemment sortie, la version 2.6.7, qui devrait être installée immédiatement sur tous les serveurs vulnérables. MailPoet donne aux sites des capacités supplémentaires pour créer des bulletins d’information et des notifications, et permet d’envoyer des réponses automatiques.