Woocommerce : faille critique activement exploitée.
Cette faille a été découverte en Mars 2023 et elle est activement exploitée par les pirates informatiques. Connue sous le CVE-2023-28121, elle permet à un attaquant d'obtenir un accès administrateur au site affecté. L'alerte est venue du site de cybersécurité "Wordfence", qui indique que cette vulnérabilité permet a un "attaquant non authentifié d'usurper l'identité d'un administrateur et de prendre complètement le contrôle d'un site web sans aucune interaction avec l'utilisateur, et sans recourir à de l'ingénierie sociale".
Woocommerce : le paiement pour WordPress.
WooCommerce Payments est une solution de paiement intégrée conçue spécifiquement pour les sites e-commerce utilisant la plateforme WooCommerce, qui est elle-même une extension pour le CMS WordPress. Elle offre une configuration simplifiée, permettant aux commerçants de gérer facilement les transactions directement depuis leur tableau de bord WooCommerce. Cette extension propose diverses options de paiement, dont les principales cartes de crédit, offrant ainsi une expérience d'achat fluide pour les clients. En outre, WooCommerce Payments offre des fonctionnalités de gestion des remboursements et des rapports détaillés pour aider les commerçants à suivre et à analyser leurs transactions.
De nombreuses attaques en cours...
La faille a été analysé par les chercheurs en cybersécurité de RCE Security, qui l'ont décortiqué dans un article mis en ligne le 3 juillet 2023. L'article est accompagné d'un PoC (une preuve de concept) et explique le mécanisme d'attaque, qui passe par une modification d'un entête HTTP "X-WCPAY-PLATFORM-CHECKOUT-USER", en l'associant au nom du compte que le hacker souhaite compromettre.
Dès le 14 juillet 2023, de nombreuses attaques vers les sites WordPress sont détectées, avec pour but explicite d'utiliser cette faille dans l'extension WooCommerce Payments. Au préalable, lors d'une phase de scan, les sites vulnérables ont été repérés. Le but des attaquants semble être d'installer une autre plugin : WP-Console, afin de prendre le contrôle d'un compte administrateur et pouvoir exécuter du code PHP.
Mise à jour en urgence !
Il est donc conseillé de mettre à jour de toute urgence votre installation WordPress, et spécifiquement WooCommerce Payments avec la dernière version disponible. Il ne semble pas superflu de faire une vérification des comptes administrateurs de votre site web WordPress.
Comme d'habitude, l'usage d'un WAF (Web Application Firewall), tel que ProtectMy.site, peut permettre de mitiger rapidement ce type d'attaque, en supprimant l'entête incriminé. Il permet aussi de vérifier si l'adresse IP "194.169.175.93", qui a été à l'origine du scan de plus de 200 000 sites WordPress, est aussi passé sur le vôtre.