Une faille de sécurité particulièrement sournoise vient d’être identifiée dans le plugin Really Simple Security (anciennement Really Simple SSL) et croyez-moi, elle mérite toute votre attention.

Pour rappel, ce plugin permet de mettre en place facilement et rapidement un certificat SSL sur un Wordpress. Vu la galère que ça peut-être pour les débutants, c’est donc une extension très très très utilisée ! Du coup, y’a plus de 4 millions de sites WordPress potentiellement vulnérables à une attaque qui permettrait à n’importe quel petit malin de se connecter en tant qu’administrateur ! Cette faille d’authentification est tellement préoccupante que même les experts de Wordfence, qui l’ont découverte le 6 novembre 2024, la considèrent comme l’une des plus graves de ces 12 dernières années.

Cette vuln concerne toutes les versions du plugin comprises entre la 9.0.0 et la 9.1.1.1, que ce soit la version gratuite ou les versions Pro et Pro Multisite et elle permet à un attaquant de contourner complètement l’authentification et de prendre le contrôle total d’un site lorsque l’option d’authentification à deux facteurs est activée.

Pour les plus techniques d’entre vous, la faille se situe dans la gestion des API REST liées à l’authentification deux facteurs. Une erreur dans la fonction ‘check_login_and_get_user’ permet de bypasser les vérifications de sécurité et d’obtenir un accès administrateur complet. Plus précisément, la fonction renvoie une erreur WP_REST_Response en cas d’échec, mais cette erreur n’est pas correctement gérée, permettant à l’authentification de se poursuivre malgré un nonce invalide.

La gravité de cette vulnérabilité est telle qu’elle a reçu un score CVSS de 9.8 sur 10. Pour les non-initiés, c’est l’équivalent d’un 19/20 en termes de dangerosité ! Le plus préoccupant est qu’elle peut peut être exploitée de manière automatisée, permettant potentiellement des attaques à grande échelle sur des milliers de sites simultanément.

Mais ne paniquez pas ! Les développeurs ont réagi rapidement en collaboration avec l’équipe WordPress pour déployer une mise à jour forcée vers la version 9.1.2, même sur les sites ayant désactivé les mises à jour automatiques. Cette action exceptionnelle était totalement justifiée par la criticité de la situation.

Voici ce que vous devez faire si vous utilisez Really Simple Security :

1. Vérifiez immédiatement votre version du plugin. Si vous n’êtes pas en version 9.1.2 ou supérieure, mettez à jour sans attendre.
2. Surveillez vos logs de connexion pour détecter toute activité suspecte survenue avant la mise à jour.
3. Changez vos mots de passe administrateur par précaution, même si vous avez déjà mis à jour.
4. Si vous utilisez la version Pro, vérifiez que votre licence est active pour garantir le bon fonctionnement des mises à jour automatiques.

Pour les administrateurs système et les hébergeurs, quelques recommandations supplémentaires :

• Effectuez des scans de sécurité approfondis sur vos serveurs
• Forcez la mise à jour du plugin sur tous les sites que vous gérez
• Scannez vos systèmes de fichiers pour identifier toute version non patchée
• Mettez en place une surveillance accrue des tentatives de connexion

Encore une fois c’est un bon petit rappel sur l’importance de maintenir nos plugins à jour et de suivre les bonnes pratiques de sécurité. Mais aussi de se passer autant que possible de plugins Wordpress souvent inutiles. WordPress étant la cible privilégiée de nombreuses attaques en raison de sa popularité, la moindre faille peut avoir des conséquences désastreuses.

Si vous connaissez des personnes utilisant ce plugin, n’hésitez pas à partager ces informations avec elles car comme d’habitude, la sécurité est l’affaire de tous !

Source