Alerte de Sécurité WordPress, Adobe Reader, Internet Explorer – 02 Décembre 2014

Les fêtes de fin d’années approchent, la sécurité de nombreux sites laisse à désirer et c’est sans grandes surprises que de nombreuses attaques se déploient jour après jour.

Depuis la dernière alertes de nombreux problèmes ont surgit, voici un florilège des problèmes de sécurité apparus ces derniers jours:

• Je vous parlais récemment d’une attaque des serveurs de Sony Pictures, aujourd’hui plusieurs films, non encore disponibles dans les salles, sont disponibles en téléchargement illégal sur Internet, manque à gagner considérable pour la firme.

• Le plugin Contact Form 7 a publié une mise à jour afin de réparer un bug. Il est à noter que l’éditeur du plugin a réparé la faille de sécurité en moins de 24 heures! Passez le plus tôt possible à la version 4.0.2.

• Adobe vient de réparer une fois de plus le plugin Flash victime de failles à répétituins

• Adobe toujours, une faille permettant l’exécution arbitraire de code dans la version 11.08 de Adobe Reader, a été partiellement réparée dans la version 11.09 rendant la faille quasiment impossible a exploiter, mais le risque reste présent.

• De nouvelles campagnes de fishing utilisant les entêtes et logos d’administrations, d’EDF, GDF et des banques est en cours à l’approche de la fin d’année. Ne vous connectez jamais à ce genre de site en cliquant sur le lien fournit dans l’email!

• Les distributions Linux de Redhat, Ubuntu, Mandriva et Debian sont affectées par des vulnérabilités dans différentes librairies

• Escalade de Privilèges au sein du driver IOKIT pour Apple OS X version < 10.10

• Exécution de code distant dans les versions < 11 de Internet Explorer

Des chercheurs en sécurité ont découvert des plugins et thèmes malveillants pour WordPress, entre autres CMS, révélant une porte dérobée nommée « CryptoPHP« . Afin de piéger les administrateurs de sites, ces derniers sont amenés à télécharger des versions gratuites, piratées , de plugin et thèmes premium pour WordPress.Une fois téléchargé, les produits (thèmes ou plugin)  malveillants installent une porte dérobée sur le serveur de la victime.

Le malware est parfois difficile à repérer, car il utilise des inclusions malveillantes de PHP de type: « include(‘assets/images/social.png »

Il est bien entendu fortement déconseillé de s’approvisionner en thèmes ou plugins piratés sur des plateformes… les malwares y abondent !

Pour vos thèmes gratuits, préférez le repository officiel WordPress, à moins d’avoir de solides connaissances en développement et une capacité à analyser le code source.

---

 Alerte de Sécurité WordPress – 02 Décembre 2014

Liste des éléments WordPress présentant des failles

• WordPress Ad-Manager : redirection de track-click.php

[alert-note]La page track-click.php accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l’attaquant. Un attaquant peut donc tromper l’utilisateur via track-click.php de WordPress Ad-Manager, afin de le rediriger vers un site illicite.[/alert-note]

• WordPress Html5 Mp3 Player with Playlist : obtention d’information via playlist.php

[alert-note]Un attaquant peut appeler directement playlist.php, pour provoquer une erreur, indiquant le chemin d’installation, afin d’obtenir des informations sensibles.[/alert-note]

• SupportEzzy Ticket System : Cross Site Scripting

[alert-note]Le cross-site scripting (abrégé XSS), est un type de faille des sites web permettant d’injecter du contenu dans une page, et ainsi provoquer des actions sur les navigateurs web visitant la page[/alert-note]

• WP-DB-Backup 2.2.4 : Vol de sauvegardes

[alert-note]Possibilité de télécharger les sauvegardes – Accès distant non authentifié de fichiers de sauvegarde via des noms de fichiers facilement à deviner[/alert-note]

• WordPress Ad-Manager : Elévation de privilèges

[alert-note]Une élévation des privilèges est un mécanisme permettant à un utilisateur d’obtenir des privilèges supérieurs à ceux qu’il a normalement.[/alert-note]

• WordPress db-backup : Téléchargement Arbitraire de Fichiers

[alert-note]Faiblesses dans la gestion des autorisations, privilèges, et autres fonctions de sécurité utilisés pour le contrôle d’accès aux fichiers permettant à un attaquant de téléverser un fichier à risque sur le serveur[/alert-note]

• Sexy Squeeze Pages: Cross Site Scripting

• wpDataTables version <= 1.5.3 : Injection SQL

[alert-note]Un attaquant peut provoquer une injection SQL afin de lire ou modifier des données[/alert-note]

• wpDataTables version <= 1.5.3 :  Téléchargement Arbitraire de Fichiers

• WhyDoWork AdSense plugin 1.2 : Plusieurs Cross-site scripting

• Apptha WordPress Video Gallery version <= 2.5 – Plusieurs Cross-site scripting

• WordPress version < 4.01 : Multiple faille Cross Site Scripting

• Wordfence 5.2.2 : Cross Site Scripting

• Google Analytics by Yoast version <= 5.1.2 : Cross-Site Scripting

• Contact Form DB version <= 2.8.17 : Cross-Site Scripting dans la partie administration du plugin

• Google Document Embedder <= 2.5.14 – Injection SQL

• Cart66 Lite WordPress Ecommerce 1.5.1.17 – Injection SQL

• WordPress Slideshow Gallery : Upload de fichier

[alert-note]Un attaquant peut uploader un fichier illicite, afin par exemple de déposer un Cheval de Troie[/alert-note]

• Another WordPress Classifieds injection SQL

[alert-note]Un attaquant peut provoquer une injection SQL, afin de lire ou modifier des données[/alert-note]

• WP Symposium 14.10 : Multiple Cross-Site Scripting & Injection SQL

• WordPress Password Check : Déni de Service

[alert-note]Un attaquant peut tenter de rendre indisponible un service, et d’empêcher ainsi les utilisateurs légitimes d’utiliser le service[/alert-note]

• Paid Memberships Pro : Traversée de Répertoire

[alert-note]Un attaquant peut traverser les répertoires afin de lire un fichier situé hors de la racine du service[/alert-note]

• DukaPress plugin before 2.5.4 – Traversée de Répertoire

• Digital Zoom Studio – Multiple cross-site scripting

 

Aucune faille de sécurité n’est bénigne, et malgré le suivi que vous apportez à vos sites WordPress, votre site est à risque si vous ne prenez pas les mesures appropriées. Vous ne laisseriez pas la porte de domicile ouverte en le quittant, alors faites de même avec votre site WordPress, sécurisez le.

Ne pensez pas que cela n’arrive qu’aux autres, tous les sites WordPress sont concernés par les failles de sécurité!

Conseils pour la sécurité de votre site

• Ne pas utiliser “admin” comme identifiant administrateur
• Faites attention à ce que vous téléchargez
• Mettez à jour WordPress
• Mettez à jour vos thèmes et plugin
• Utilisez un mot de passe fort
• Limitez le nombre de tentatives de connexion avec Limit Login Attempts
• Faites des sauvegardes régulières de la totalité de votre site avec BackupBuddy
• Utilisez au moins un plugin de sécurisation tel que iThemes Security

Rappel important!

Une sauvegarde régulière de la totalité de votre site WordPress (base de données, thèmes, et plugin) est nécessaire afin de palier à tout problème de sécurité.

---

 Nous sommes tous concernés par la sécurité, dans l’intérêt de tous, Partagez cet article, Merci!

Publié à l'origine le : 2 décembre 2014 @ 9 h 04 min