Fin janvier, une mise à jour de sécurité de WordPress a été mise à disposition. Cette mouture 4.7.2 corrige des vulnérabilités affectant les versions 4.7.1 et antérieures. Les versions 4.7 et 4.7.1 - pas les versions plus anciennes - sont en outre concernées par une faille au niveau de l'API REST.
Découverte et rapportée par Securi, cette dernière vulnérabilité d'élévation de privilèges permet à un attaquant non authentifié d'altérer le contenu d'un site ou blog WordPress. Une exploitation est jugée triviale. Moins de 48 heures après une divulgation publique, Securi a observé quatre campagnes d'attaques.
La plus active de ces campagnes a fait aux alentours de 66 000 victimes, tandis que les trois autres ont fait chacune 500 victimes. Un décompte qui date du début de semaine. Pour le cas de la campagne la plus active, le nombre de victimes continue d'augmenter si l'on se réfère à l'index du moteur de recherche Google et une trace laissée par les attaquants qui signent leurs défacements par " by w4l3XzY3. "
Les autres attaques portent les noms de groupes Cyb3r-Shia, By+NeT.Defacer et By+Hawleri_hacker. Autant d'indices sur des pages qui doivent faire réagir les administrateurs. Les défacements par w4l3XzY3 semblent pour le moment se cantonner à des modifications de titres et de contenus en ajoutant le nom de ce groupe.
" WordPress dispose d'une fonctionnalité de mise à jour automatique activée par défaut, en même temps qu'une procédure de mise à jour manuelle en un clic. Malgré cela, tout le monde n'est pas au courant de ce problème (ndlr : la vulnérabilité affectant l'API REST) ou en mesure de mettre à jour leur site. Cela conduit à un grand nombre de sites compromis et défacés "
, écrit Securi qui ajoute que quelques tentatives d'exploitation essaient déjà d'ajouter des images de spam.
Entre la mise à jour correctrice 4.7.2 et la divulgation publique de la vulnérabilité, Securi a laissé un délai de cinq jours. Manifestement trop court...
