Un chercheur en sécurité réticent lance Web-0days pour des utilisateurs innocents

Image de uns et de zéros avec le mot

Au cours des trois dernières semaines, trois vulnérabilités critiques du jour zéro dans les plug-ins WordPress ont exposé 160 000 sites Web à des attaques permettant à des pirates informatiques de rediriger des visiteurs indésirables vers des cibles malveillantes. Un fournisseur de sécurité auto-proclamé qui a annoncé publiquement les bugs avant que les correctifs ne deviennent disponibles a joué un rôle clé dans la débâcle, bien que les retards des développeurs de plug-ins et des administrateurs de site aient également contribué à la publication et à l'installation de correctifs.

La semaine dernière, les vulnérabilités de Zeroday ont été attaquées à la fois dans les plug-ins Yuzo Related Posts et dans les plug-ins Word Theme Customizer WordPress utilisés par 60 000 et 30 000 sites Web, respectivement. Les deux plug-ins ont été supprimés du référentiel de plug-ins WordPress au moment de la publication des publications zéro, laissant les sites Web n'ayant d'autre choix que de supprimer les plug-ins. Yellow Pencil a publié un correctif trois jours après avoir pris connaissance de la vulnérabilité vendredi. Au moment de la publication de ce message, Yuzo Related Posts a été fermé sans qu'un correctif soit disponible.

Les exploits In-the-Wild contre Social Warfare, un plug-in utilisé par 70 000 sites, ont débuté il y a trois semaines. Les développeurs de ce plugin ont rapidement corrigé le bogue, mais pas avant le piratage des sites qui utilisaient le plugin.

Fraude et greffe en ligne

Les trois vagues d'exploits ont abouti à ce que les sites Web utilisent des plug-ins vulnérables pour diriger les visiteurs vers des sites qui promeuvent des escroqueries d'assistance technique et d'autres formes de transplantation en ligne. Dans les trois cas, des exploits sont survenus après qu'un site Web appelé Plugin Vulnerabilities a publié des informations détaillées sur les vulnérabilités sous-jacentes. Les publications contenaient suffisamment de code pour prouver l'évidence de l'exploit et d'autres détails techniques pour faciliter le piratage de sites vulnérables. En fait, une partie du code utilisé pour les attaques semblait avoir été copiée et collée par les publications de vulnérabilité du plug-in.

Quelques heures après la publication des vulnérabilités de plug-in du thème visuel Yellow Pencil et de Social Warfare, les vulnérabilités du jour zéro ont été activement exploitées. Il a fallu 11 jours à toutes les vulnérabilités de plug-in pour ignorer le serveur Yuzo Related Posts et signaler les exploits dans la nature. Aucune attaque sur les vulnérabilités de divulgation n’a été signalée.

Les trois publications de Plugin Vulnerabilities contenaient un langage Boilerplate indiquant que l'auteur non nommé les avait déjà publiées pour protester contre "les modérateurs du comportement toujours inapproprié de WordPress Support Forum".

"Notre politique de divulgation actuelle consiste à exposer pleinement les vulnérabilités, puis à informer le développeur via le forum de support WordPress, mais les modérateurs cherchent souvent à simplement supprimer ces messages et à n'en informer personne", écrit l'auteur dans un courrier électronique.

Selon un article de blog publié par Warfare Plugins par Social Warfare jeudi, voici le programme du 21 mars, lorsque les failles de sécurité des plug-ins ont laissé tomber la balise zéro pour ce plugin:

14h30 (Approx.) – Une personne non nommée a publié l'exploit dont les pirates peuvent tirer profit. Nous ne connaissons pas l'heure exacte de publication car la personne a masqué l'heure de publication. Les attaques sur des sites Web sans méfiance commencent presque immédiatement.

14h59 – WordPress détecte la publication de cette vulnérabilité, supprime Social Warfare du référentiel WordPress.org et envoie un courrier électronique à notre équipe à propos du problème.

15.07 horloge – De manière responsable et respectable, WordFence publie la découverte de la version et de la vulnérabilité et ne fournit pas de détails sur la manière dont l'exploit peut être utilisé.

15h43 – Chaque membre de l'équipe Warfare Plugins est mis à jour, reçoit des instructions tactiques et commence à réagir à la situation dans chaque domaine: Développement, communication et service à la clientèle,

16h21 – Une notification que nous connaissons sur les exploits a été affichée avec des instructions pour désactiver le plugin jusqu'à un patch posté sur Twitter ainsi que sur notre site web.

17h37 – L’équipe de développement des plug-ins Warfare définit les derniers engagements en matière de code afin de corriger la vulnérabilité et d’annuler toute insertion de script malveillant qui a redirigé des sites. Les tests internes commencent.

17h58 – Après des tests internes approfondis et l'envoi d'une version corrigée à WordPress pour révision, la nouvelle version de Social Warfare (3.5.3) sera publiée.

18h04 – E-mail à tous Guerre sociale – Pro Les clients reçoivent des informations détaillées sur la vulnérabilité et des instructions pour une mise à niveau immédiate.

Pas de regrets

L’auteur a déclaré qu’il avait recherché la sécurité après Yuzo Related Posts et Yellow Pencil, après avoir constaté qu’ils avaient été retirés du référentiel de plug-in WordPress sans explication et qu’ils étaient devenus suspects. "Ainsi, nos messages auraient pu être exploités, ainsi [sic] Il peut y avoir un processus parallèle ", a écrit l'auteur.

L'auteur a également signalé qu'il s'était écoulé onze jours entre la publication du Yuzo Related Post et les premiers rapports connus. Ces exploits n'auraient pas été possibles si le développeur avait corrigé la vulnérabilité pendant cet intervalle.

Lorsqu'on lui a demandé si les utilisateurs finaux innocents et les propriétaires de sites blessés par les exploits se repentaient, l'auteur a déclaré: "Nous n'avons pas de connaissance directe de ce que font les pirates, mais il est probable que nos révélations auraient pu conduire à des exploits. tentatives. Ces divulgations complètes auraient cessé depuis longtemps si la modération du forum d'assistance n'était que nettoyée. Par conséquent, les dommages causés par ceux-ci pourraient être évités s'ils avaient simplement accepté de les nettoyer. "

L'auteur a refusé de spécifier un nom ou d'identifier des vulnérabilités de plug-in, à moins que ce soit un fournisseur de services qui ait détecté des vulnérabilités dans les plug-ins WordPress. "Nous essayons de garder une longueur d'avance sur les pirates, car nos clients nous paient pour les avertir des vulnérabilités des plugins qu'ils utilisent, il est donc préférable de les avertir avant qu'ils ne puissent être exploités."

Les vulnérabilités du plugin Whois?

Le site Web sur la vulnérabilité des plug-ins a un pied de page de droit d'auteur sur chaque page répertoriant White Fir Designs, LLC. Les enregistrements Whois pour pluginvulnerabilities.com et whitefirdesign.com indiquent également le propriétaire sous le nom White White Designs de Greenwood Village, Colorado. Une recherche dans l’état du Colorado dans la base de données des entreprises montre que White Fir Designs a été fondée en 2006 par un certain John Michael Grillot. En 2014, la secrétaire d'État des États-Unis a modifié le statut juridique de White Fir Design de "en règle" en "délinquant" car "le rapport périodique n'a pas été déposé".

Selon des sujets tels que celui-ci, le point central de l'auteur avec les modérateurs du forum de support WordPress est qu'il supprime ses messages et ses comptes lorsqu'il découvre des vulnérabilités non résolues dans les forums publics. Un article de presse récent a déclaré qu'il avait été "suspendu à vie", mais s'était juré de poursuivre cette pratique indéfiniment avec des récits fictifs. Des articles comme celui-ci montrent que l'indignation du public face aux vulnérabilités de plug-in des forums d'assistance de WordPress est en cours depuis au moins 2016.

Certes, de nombreux reproches se propagent dans les récents exploits. Les plug-ins WordPress utilisés par WordPress constituent depuis longtemps le principal risque en matière de sécurité pour les sites Web utilisant WordPress. Jusqu'à présent, les développeurs du CMS open source n'ont trouvé aucun moyen d'améliorer suffisamment la qualité. De plus, les développeurs de plug-ins mettent souvent beaucoup de temps à corriger les vulnérabilités critiques, et les administrateurs de site doivent les installer. L’entrée de blog de Warfare Plugins est l’une des meilleures excuses jamais vouée au manquement du bogue critique avant son exploitation.

Cependant, le blâme repose en grande partie sur un service de sécurité autoproclamé disposé à abandonner Zerodays en guise de protestation ou, alternativement, en tant que moyen de garantir la sécurité du client (comme si un code d’exploitation était requis). Sans excuses et sans remords de la part de l'éditeur – sans parler d'un nombre impressionnant de plugins défectueux et mal testés dans le référentiel WordPress – il ne serait pas étonnant de voir zéro divulgation dans les prochains jours.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *