Depuis mercredi, les chercheurs de deux entreprises de sécurité mettent en garde contre une vulnérabilité critique présente dans un plug-in WordPress utilisé par un grand nombre de thèmes. La vulnérabilité, activement exploitée par les pirates, affecte les versions 4.1.4 et antérieures du plug-in commercial Slider Revolution, qui permet de créer et de faire défiler des contenus sous forme de Slides dans WordPress. La version 4.2 du plug-in, sortie en février, corrige la vulnérabilité, mais certains thèmes utilisent toujours une version à risque du plug-in. Des chercheurs de l'entreprise de sécurité Sucuri expliquent dans un blog que la vulnérabilité peut être exploitée pour exécuter une attaque dite par inclusion de fichier local (LFI), laquelle permet aux pirates d'accéder au fichier wp-config.php du site sous WordPress. « Ce fichier sensible contient des informations d'identification qui protègent la base de données, et elles peuvent être utilisées pour compromettre l'ensemble du site », alertent les chercheurs.

En février dernier, ThemePunch, le développeur du plug-in Slider Revolution, avait indiqué dans son avis que la mise à jour de la version 4.2 corrigeait un problème de sécurité, sans donner plus de détails sur la faille ou son impact. Selon les chercheurs en sécurité de Trustwave, depuis plusieurs mois, des informations sur la vulnérabilité circulent sur les forums illégaux, et le 1er septembre dernier, un contributeur a posté sur un site public un exploit proof-of-concept permettant de tirer profit de la faille. Il a même fourni la liste des thèmes WordPress susceptibles d'être affectés. « Actuellement, nos indicateurs montrent une forte augmentation du balayage des sites Wordpress », ont-ils indiqué. Les chercheurs de Sucuri ont également relevé de nombreuses tentatives pour exploiter la vulnérabilité. « Pour la seule journée de mercredi, 64 adresses IP différentes ont essayé d'exploiter la vulnérabilité sur plus de 1000 sites différents », ont-ils déclaré.

La version 4.6 de Slider Revolution également hors de danger

Slider Revolution est vendu via CodeCanyon.net, une boutique en ligne de scripts et autres composants Web. Le plug-in est acheté par des propriétaires de site réguliers et par des développeurs de thèmes pour WordPress qui ajoutent le composant à leurs produits pour implémenter la fonctionnalité. Sauf que, généralement, quand le plug-in est intégré à ces thèmes, le mécanisme de mise à jour automatique est désactivé. Les utilisateurs doivent alors compter sur les auteurs pour qu'ils mettent à jour le plug-in, ce qu'ils ne font pas la plupart du temps. « Nous corrigeons tous les problèmes en quelques heures », a déclaré hier par courriel un représentant du service technique de Damojo, l'éditeur allemand qui possède ThemePunch. « Comme vous le savez, il est essentiel que tous les plug-ins de WordPress et des serveurs soient à jour. Nos clients directs mettent régulièrement à jour leur plug-in, parfois automatiquement s'ils le désirent. Mais, ce n'est pas le cas des auteurs qui intègrent le plug-in à leur thème, et c'est un vrai problème », a déclaré le représentant de Damojo. « La note de sécurité accompagnant la dernière mise à jour aurait dû les alerter. Or, depuis le mois de février, la plupart des auteurs n'ont pas proposé à leurs clients de remplacer leur thème avec le plug-in corrigé ».

Une version 4.6 de Slider Revolution est disponible depuis le 25 août, mais cette vulnérabilité particulière ne concerne que les versions antérieures à la 4.2. Le représentant de Damojo conseille aux utilisateurs de vérifier si leurs thèmes contiennent une version vulnérable du plug-in et de contacter les auteurs si c'est le cas. Celui-ci ajoute qu'on ne pas rendre l'éditeur responsable de ce manquement. « Cet incident montre une fois de plus les risques que présente l'utilisation de code par des tiers, un problème bien connu qui concerne tous types de logiciels, et pas seulement les applications Web et les thèmes WordPress ». Beaucoup de développeurs utilisent des composants et des bibliothèques de tierce partie dans leurs propres projets et n'assurent pas un suivi suffisant des mises à jour de sécurité. « C'est la raison pour laquelle il peut arriver qu'une vulnérabilité soit identifiée et corrigée dans un logiciel, mais perdure des mois ou des années dans d'autres applications ».