Porte dérobée (Backdoor) identifiée dans un plugin de WordPress avec plus de 200,000 installations.
Depuis plus de deux mois et demi, un plugin du plus populaire système de gestion de contenus pour sites web WordPress a été exploité pour installer une porte dérobée (backdoor en anglais) dans les sites wordPress à travers internet.
Le plugin concerné (nommé Display Widgets) permet à l'administrateur d'un site web WordPress de gérer les widgets du site : quelles widgets, quand, et comment les faire apparaître sur le site. Les versions concernées sont: Display Widgets version 2.6.1 (éditée en 30 juin) et la version 2.6.3 (éditée en 2 Septembre). Aussitôt détectée, L'équipe WordPress à empêchée à retirer ces versions de leurs dépôts de plugins. Les utilisateurs qui ont déjà installés le plugin comptaient de plus de 200,000, sans compter les sites utilisant les versions antérieures et qui ont fait des mises à jour à ces nouvelles versions en cause. Ce n'est pas la première fois que ce plugin soit exploité par de codes malveillants. Il a été retiré trois fois auparavant pour cause de telles exploitations malveillantes. Voici les différentes enquêtes effectuées pour ces incidents : David Law , White Fir Design , et Wordfence .
Pour rappel, une porte dérobée dans une application permet une exploitation malveillante de celle ci via une voie masquée afin de détourner ses fonctionnalités légitimes. Dans ce cas de plugin Display Widgets de WordPress, c'est le fichier « geolocalisation.php » combiné avec d'autres plugins qui est exploité pour permettre la création des liens spams invisible à l'administrateur du site et montrer du contenu des sites tiers. Ces liens spams sont tracées dans les fichiers journaux de connexions utilisateurs externes se connectant au site web en cause. L'équipe Wordpress a réglé le problème en sortant une nouvelle version (version 2.7.0) saine, identique à la dernière version propre non altérée (la version 2.0.5). Cette nouvelle version n'est pas disponible dans les dépôts en ligne des plugins WordPress, elle est intégrée parmi les nouvelles mise à jours des sites wordPress qui ont déjà installés ce plugin.
Source : bleepingcomputer.com [ Septembre 2017]
