- Plus de 300 hôtes exposés publiquement utilisent WordPress Automatic by ValvePress
Principaux pays touchés :
1. ÉTATS-UNIS
2. Allemagne
3. France
4. Les Pays-Bas
5. ROYAUME-UNI
Résumé
Censys est conscient que le 21 mars 2024, une vulnérabilité dans le plugin WordPress Automatic by ValvePress - CVE-2024-27956 - qui pourrait permettre la prise de contrôle de sites web WordPress, a été publiée. Il a récemment été rapporté que cette faille est actuellement exploitée par des attaquants. Le problème permet des attaques triviales par injection SQL contre le processus d'authentification de l'utilisateur du plugin.
Description de l'actif
WordPress Automatic Plugin by ValvePress, "posts from almost any website to WordPress automatically". Les plugins WordPress sont généralement des applications développées par des tiers qui peuvent être appliquées au site WordPress d'un client avec un minimum de codage, voire aucun. Ces applications nécessitent divers accès, souvent profonds, aux fonctionnalités du site web. Ces accès peuvent être et sont souvent utilisés par les attaquants lorsque des vulnérabilités existent dans ces plugins tiers.
Impact
Progress Flowmon "est utilisé par plus de 1 500 entreprises dans le monde, dont SEGA, KIA et TDK, Volkswagen...." (Bleepingcomputer).
Conséquences potentielles d'une exploitation réussie
Selon WPScan, "les attaquants peuvent l'exploiter [la vulnérabilité] pour obtenir un accès non autorisé à des sites web, créer des comptes d'utilisateurs de niveau administrateur, télécharger des fichiers malveillants et potentiellement prendre le contrôle total des sites affectés". Il convient de noter que WordPress est souvent utilisé comme seule source de présence en ligne et de revenus pour les petites et moyennes entreprises ; la compromission de ces sites pourrait être catastrophique pour ces entreprises.
Actifs touchés
Selon la NVD, ce problème affecte toutes les versions jusqu'à la 3.92.0.
CensysL'équipe de réponse rapide a pu identifier des installations de plugins WordPress automatiques sur des serveurs WordPress accessibles au public et détectés par nos scanners. En raison de la nature du plugin, les informations relatives à la version ne sont pas disponibles et certaines configurations peuvent rester cachées en raison de l'indexation non publique des pages web ; par conséquent, nos analyses peuvent ne pas capturer toutes les configurations uniques de ce plugin.
Censys Requête ASM pour les actifs exposés.
Cette requête est partagée par les clients qui souhaitent affiner ou modifier les versions pour des opérations personnalisées.
Censys Les requêtes de recherche
sont partagées directement avec les clients de Censys . Si vous souhaitez obtenir la requête Censys pour identifier les instances globales liées à ce problème, ou si vous avez besoin d'aide, veuillez nous contacter.
Recommandations pour l’assainissement
Si vous avez besoin d'aide pour identifier positivement ces actifs, n'hésitez pas à nous le faire savoir.