Une faille dans le plugin WP Mobile Detector de Wordpress permet actuellement à des pirates de contaminer des milliers de sites. Il est conseillé de mettre à jour le module aussi rapidement que possible ou de la désinstaller.
Comme souvent constaté avec sites Wordpress, la sécurité tient autant à la version utilisée du CMS (Content management system) qu’à ses nombreux plugins. Les failles peuvent se trouver dans l’un ou l’autre, permettant aux pirates de les exploiter pour insérer du contenu malveillant dans les pages. Quand ce n’est pas un lien vers un malware, ce peut être de la promotion vers des contenus pornographiques, ce qui est le cas ici.
Un nombre croissant de sites contaminés
Dans un billet de blog paru hier, la société de sécurité Sucuri a prévenu de l’exploitation active d’une faille dans le module WP Mobile Detector, chargé de détecter précisément quel appareil mobile est utilisé pour lui renvoyer une version adaptée du site. Cette brèche y est décrite comme très facile à exploiter, ce dont les pirates ne se privent pas.
Sur les derniers jours, Sucuri indique avoir constaté un nombre croissant de sites attaqués via cette vulnérabilité. Dans la plupart des cas, les pirates mettent en place un système de spam renvoyant vers du contenu pornographique. La société précise que la faille est connue publiquement depuis le 31 mai, que les premières attaques ont été détectées dès le 27.
La mise à jour est disponible
La brèche s’exploite en envoyant une requête contenant une adresse à resize.php ou timthumb.php. Un fichier css.php peut alors être placé dans le cache du dossier contenant le module. Un mot de passe particulier (« dinamit ») permet ensuite d’accéder aux fonctionnalités. Durant les premiers temps, la seule solution complète était de désinstaller complètement le plugin. On pouvait également désactiver l’exécution du code PHP dans le dossier de WP Mobile Detector, ce qui n’empêchait pas cependant l’upload de fichiers.
Depuis cette nuit cependant, une nouvelle version de WP Mobile Detector est disponible au téléchargement. Il est recommandé aux utilisateurs de la récupérer aussi rapidement que possible. Le problème est d’autant plus sérieux que, comme le pointe Ars Technica, plus de 10 000 sites se servent de ce plugin. Les notes de version montrent bien que la version 3.6 colmate la vulnérabilité avec le script resize, une mouture 3.7 ajoutant les fichiers manquants.
Une sécurité à entretenir
Le cas rappelle que la sécurité de Wordpress doit être soigneusement contrôlée. Si l’on utilise son propre serveur, les mises à jour du CMS doivent impérativement être faites car elles corrigent régulièrement des soucis de sécurité. Il faut également prendre un soin particulier dans le choix des plugins, en vérifiant notamment s’ils sont mis à jour régulièrement. Notez d’ailleurs que WP Mobile Detector avait rapidement été supprimé du dépôt officiel par Wordpress, avant d’y revenir une fois corrigé.