Une faille de sécurité dans des millions de sites WordPress donne un accès administrateur
Une vulnérabilité critique de contournement d’authentification a été découverte affectant le plugin WordPress « Really Simple Security » (anciennement « Really Simple SSL »), y compris les versions gratuite et Pro.
Really Simple Security est un plugin de sécurité pour la plateforme WordPress, offrant une configuration SSL, une protection de connexion, une couche d’authentification à deux facteurs et une détection des vulnérabilités en temps réel. Sa version gratuite est utilisée à elle seule sur plus de quatre millions de sites Web.
Wordfence, qui a révélé publiquement la faille, la considère comme l’une des vulnérabilités les plus graves signalées au cours de ses 12 années d’histoire. avertissement qu’il permet aux attaquants distants d’obtenir un accès administratif complet aux sites concernés.
Pour aggraver les choses, la faille peut être exploitée en masse à l’aide de scripts automatisés, ce qui pourrait conduire à des campagnes de rachat de sites Web à grande échelle.
Le risque est tel que Wordfence propose aux fournisseurs d’hébergement de forcer la mise à jour du plugin sur les sites clients et d’analyser leurs bases de données pour s’assurer que personne n’utilise de version vulnérable.
2FA conduit à une sécurité plus faible
La faille de gravité critique en question est CVE-2024-10924découvert par le chercheur de Wordfence István Márton le 6 novembre 2024.
Cela est dû à une mauvaise gestion de l’authentification des utilisateurs dans les actions de l’API REST à deux facteurs du plugin, permettant un accès non autorisé à n’importe quel compte utilisateur, y compris les administrateurs.
Plus précisément, le problème réside dans la fonction ‘check_login_and_get_user()’ qui vérifie l’identité des utilisateurs en vérifiant les paramètres ‘user_id’ et ‘login_nonce’.
Lorsque ‘login_nonce’ n’est pas valide, la demande n’est pas rejetée, comme elle le devrait, mais invoque à la place ‘authenticate_and_redirect()’, qui authentifie l’utilisateur sur la base du seul ‘user_id’, permettant ainsi le contournement de l’authentification.
La faille est exploitable lorsque l’authentification à deux facteurs (2FA) est activée, et même si elle est désactivée par défaut, de nombreux administrateurs l’autoriseront pour renforcer la sécurité des comptes.
CVE-2024-10924 affecte les versions de plugin à partir de 9.0.0 et jusqu’à 9.1.1.1 des versions « gratuites », « Pro » et « Pro Multisite ».
Le développeur a corrigé la faille en s’assurant que le code gère désormais correctement les échecs de vérification ‘login_nonce’, quittant immédiatement la fonction ‘check_login_and_get_user()’.
Les correctifs ont été appliqués à la version 9.1.2 du plugin, publiée le 12 novembre pour la version Pro et le 14 novembre pour les utilisateurs gratuits.
Le fournisseur s’est coordonné avec WordPress.org pour forcer les mises à jour de sécurité sur les utilisateurs du plugin, mais les administrateurs de sites Web doivent toujours vérifier et s’assurer qu’ils exécutent la dernière version (9.1.2).
Les utilisateurs de la version Pro voient leurs mises à jour automatiques désactivées à l’expiration de la licence, ils doivent donc mettre à jour manuellement la version 9.1.2.
Depuis hier, le Statistiques WordPress.org Le site, qui surveille les installations de la version gratuite du plugin, a affiché environ 450 000 téléchargements, laissant 3 500 000 sites potentiellement exposés à la faille.
