Slider Revolution met en péril les sites sur lesquels le plugin est installé!
Mise à jour immédiate recommandée
L’équipe de sécurité de Sucuri nous informe que récemment une vulnérabilité critique a été trouvée dans le plugin Slider Révolution. La faille a été corrigée depuis, mais l’équipe de développement de Slider Revolution a gardé le silence et n’a pas notifié les utilisateurs de l’importance de la mise à jour.
Le très populaire plugin premium Slider Revolution est hébergé sur CodeCanyon, une émanation de EnvatoMarket. Le plugin est inclus dans de nombreux thèmes très prisés, tels que Avada, le thème le plus vendu sur Themeforest. Il est également livré avec d’autres thèmes et utilisée indépendamment sur des milliers de sites Web.
Détails de la vulnérabilité
Il s’agit d’une vulnérabilité très sévère à laquelle tous les utilisateurs du plugin sont confrontés. La vulnérabilité pourrait facilement donner accès aux informations d’identification de votre site. La vulnérabilité permet à un attaquant distant de télécharger n’importe quel fichier sur le serveur, et d’avoir accès au fichier wp-config.php, ce qui lui donne libre accès à votre site.
Sucuri a donné un exemple de la façon dont on peut facilement accéder au fichier wp-config d’un site en exploitant la vulnérabilité:
http://victim.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
Ce type de vulnérabilité est connu comme une attaque par Inclusion de Fichier Local (LFI)
a expliqué Sucuri. L’attaquant est en mesure d’accéder au site, d’examiner des fichiers, ou de télécharger un fichier local sur le serveur.
La vulnérabilité de Slider Revolution a été divulguée via certains forums, mais l’auteur du plugin a décidé de taire le problème et de corriger la vulnérabilité discrètement. Une équipe de hackers du Bangladesh a publié une vidéo sur Youtube, détaillant comment exploiter les sites ainsi vulnérabilisés.
La vulnérabilité est activement exploitée et met en grave danger les petites, moyennes, et grandes entreprises ainsi que les sites gouvernementaux à travers le monde.
Sucuri a confirmé que : »Aujourd’hui seules 64 adresses IP différentes avaient essayé de déclencher cette vulnérabilité sur plus de 1000 sites différents au sein de notre environnement. »
Mise à jour immédiate de Slider Revolution
Si vous utilisez le plugin Slider Revolution sur votre site, vous devez le mettre à jour immédiatement pour éviter d’être victime de cette vulnérabilité critique. Vous devriez également analyser vos fichiers et votre base de données pour trouver d’éventuelles preuves de piratage. Il est également conseillé de mettre en place des mesures de sécurité accrues pour prévenir de futures attaques.
Bien que le problème a été résolu dans la version 4.2 du plugin, livré depuis le 25 Février 2014, le changelog (fichier contenant les modifications apportées au plugin) fait simplement référence à un « correctif de sécurité. »
Les utilisateurs de Slider Revolution ont exprimé, sur la page CodeCanyon du produit, leur indignation de ne pas avoir encore été notifié.
L’équipe de ThemePunch , les créateurs du plugin, aurait contacté plusieurs sociétés de sécurité pour obtenir des conseils sur la question.
Nous avons discuté de ce problème urgent en matière de sécurité avec les principales sociétés de sécurité en ligne et nous avons été fortement conseillé de faire une mise à jour silencieuse.
a répondu un représentant de ThemePunch. Ils ont également fait référence à un système de mise à jour automatique que les utilisateurs peuvent souscrire pour recevoir des informations et des alertes à l’avenir.
Les risques d’utiliser des plugin gratuits ou premium sans notification de mise à jour
Si vous utilisez un plugin ou un thème premium qui n’a pas de système de mise à jour automatique ou qui ne vous informe pas par e-mail des mises à jour, vous devez être très proactif et vous tenir informé. Une faille de sécurité critique, telle que delle de Slider Revolution peut facilement mettre votre site en grand danger, si vous négligez les mises à jour.
Les auteurs de thèmes ne font pas toujours de mise à jour des plugin livré avec les thèmes, et de ce fait, les utilisateurs ne peuvent pas profiter du système de mise à jour automatique fourni par l’auteur du plugin.
Cette menace particulière ne mettrait pas tant de sites en danger si le plugin Slider Revolution n’avait pas été livré avec un thèmes. La livraison de plugin avec des thèmes tend à obscurcir les détails de la façon dont les utilisateurs peuvent obtenir des mises à jour du plugin.
Même avec un système de notification de mise à jour, les utilisateurs sont rendus vulnérables par les développeurs qui corrigent en silence et ne font aucun effort pour informer leur base d’utilisateurs d’une mise à jour critique concernant la sécurité. Les utilisateurs peuvent se protéger contre ce genre de situation en refusant d’acheter les thèmes qui incluent des plugin.
Informez votre entourage de la vulnérabilité de Slider Revolution, et partagez l’information sur les réseaux sociaux, afin d’éviter que d’autres sites soient victimes de cette vulnérabilité. Merci!
Publié à l'origine le : 4 septembre 2014 @ 9 h 53 min