Des chercheurs en sécurité informatique ont découvert une vulnérabilité sérieuse du plug-in Jetpack qui expose les sites à un risque d’attaque par des cybercriminels. Si vous exécutez des sites WordPress pour votre entreprise et que vous utilisez le plug-in d’optimisation de site Web Jetpack, vous devez effectuer une mise à jour dès que possible pour éviter que le défaut ne soit exploité.
La vulnérabilité du plug-in Jetpack peut être utilisée pour injecter un code JavaScript malveillant dans des sites Web ou pour insérer des liens, vidéos, documents, images et autres ressources. Cela exposerait les visiteurs du site à un risque de téléchargement de malware ou de ransomware.
Les acteurs malveillants pourraient intégrer un code JavaScript malveillant dans les commentaires du site, et chaque fois qu’un visiteur consulte un commentaire malveillant, il autorise l’exécution du code. Les visiteurs pourraient donc être redirigés vers d’autres sites Web et la faille risque d’être utilisée pour voler des cookies d’authentification et détourner les comptes d’administrateur, ou pour intégrer des liens vers des sites Web contenant des kits d’exploitation.
La faille peut également être exploitée par les concurrents pour affecter négativement le classement dans les moteurs de recherche en utilisant des techniques de spamming SEO. Ceci pourrait avoir de graves conséquences pour le classement des sites et pour le trafic.
Plus d’un million de sites Web WordPress sont affectés par la vulnérabilité du nouveau plug-in Jetpack
La vulnérabilité du plug-in Jetpack a récemment été découverte par des chercheurs de Sucuri.
La vulnérabilité est une faille Cross-Site Scripting ou XSS qui a été introduite pour la première fois en 2012 et qui a affecté la version 2.0 du plug-in. Toutes les versions ultérieures de Jetpack contiennent également la même vulnérabilité de module Shortcode Embeds Jetpack.
Jetpack est un plug-in WordPress populaire qui a été conçu par des développeurs d’Automattic, la société qui propose WordPress. Il a été téléchargé et utilisé sur plus d’un million de sites Web. Ce n’est pas seulement un problème pour les propriétaires de sites Web, mais aussi pour les visiteurs du Web qui pourraient facilement voir cette faille exploitée et infecter leurs ordinateurs avec un ransomware ou un malware. Les failles de ce genre soulignent l’importance d’utiliser un logiciel de filtrage Web qui bloque les redirections vers des sites Web malveillants.
Alors que de nombreuses vulnérabilités de plug-ins WordPress nécessitent un niveau de compétence substantiel pour être exploitées, celle du plug-in jetpack ne nécessite que très peu de compétences. Heureusement, Jetpack n’a découvert aucun élément de programme actif permettant à un individu ou à un malwares d’exploiter une faille de sécurité informatique. Cependant, maintenant que la vulnérabilité a été annoncée, et que les détails sur la manière de l’exploiter sont fournis en ligne, ce n’est qu’une question de temps avant que les pirates et les acteurs malveillants en profitent.
Le défaut ne peut être exploité que si le module Shortcode Embeds Jetpack est activé, bien qu’il soit fortement conseillé à tous les utilisateurs du plug-in d’effectuer une mise à jour dès que possible. Jetpack a travaillé avec WordPress pour que la mise à jour soit diffusée via le système de mise à jour de base de WordPress. Si vous avez la version 4.0.3 installée, vous êtes déjà probablement protégé.
Jetpack signale que, même si le défaut a déjà été exploité, la mise à jour vers la dernière version du logiciel supprimera tous les kits d’exploitations déjà présents sur les sites web WordPress.