ADVISORY : Une vulnérabilité zéro-day permet de réinitialiser le mot de passe Admin sur WordPress (CVE-2017-8295)

Que s’est-il passé ?

WordPress est l’un des systèmes de gestion de contenu les plus populaires (CMS), utilisé par des milliers d’utilisateurs et de sites Web, en raison de sa flexibilité, de ses fonctionnalités et de son interface facile à utiliser. WordPress est également le premier CMS ciblé par les hackers, avec un retour sur investissement élevé en cas d’attaque réussie, et généralement automatisée.

Des vulnérabilités sur WordPress sont découvertes chaque jour. Aujourd’hui, une vulnérabilité zéro-day permet aux attaquants de réinitialiser le mot de passe des utilisateurs ciblés dans certaines circonstances. La vulnérabilité (CVE-2017-8295) affecte toutes les versions de WordPress, y compris la dernière version 4.7.4.

Détails de la vulnérabilité CVE-2017-8295

Selon Dawid Golunski et TheHackerNews, lors de l’envoi de cet email de réinitialisation du mot de passe, WordPress utilise une variable appelée SERVER_NAME pour obtenir le nom d’hôte d’un serveur pour définir les valeurs des champs From/Return-Path :

Source de l’image : TheHackerNews

Des informations détaillées sur la façon dont cette vulnérabilité peut être exploitée par des personnes malveillantes sont disponibles dans l’article  UnPatched WordPress Flaw Could Allow Hackers to Reset Admin Password (TheHackerNews).

Comment remédier à cette vulnérabilité ? Les produits DenyAll sont-ils concernés ?

Heureusement, si vous avez un WAF DenyAll devant votre site WordPress, c’est-à-dire pour les clients de DenyAll Web Application Firewall, DenyAll Web Services Firewall et DenyAll rWeb, vous êtes protégé contre cette vulnérabilité. Par défaut, le reverse proxy intégré à nos WAFs n’accepte pas les hôtes inconnus et bloquera (et enregistrera) les noms des potentiels hôtes inconnus.

La vulnérabilité a été publiquement divulguée et aucun patch n’a été publié par l’équipe de sécurité WordPress. Si vous n’êtes pas équipé d’un pare-feu applicatif Web, nous vous conseillons de mettre à jour votre configuration serveur pour activer “UseCanonicalName” afin de bloquer et maintenir la valeur “static/predefined SERVER_NAME”.

En raison d’un cas urgent, d’un manque d’expertise technique ou de sécurité, je vous invite à visiter CloudProtector.com, un firewall applicatif Web qui vous permet de protéger votre site WordPress en un seul clic au prix d’un forfait mobile. CloudProtector intègre un template de sécurité préétabli pour les sites Web basés sur le CMS WordPress. Un simple changement DNS suffit à vous protéger, pourquoi ne pas essayer l’offre gratuite de 14 jours ?

Xavier Quoniam, Marketing Manager on Linkedin
Xavier Quoniam, Marketing Manager
Xavier est notre Marketing Manager. Il est passionné par les nouvelles technologies qui transforment la façon dont les entreprises communiquent. Il nous apporte sa passion, sa curiosité et ses idées innovantes pour promouvoir au mieux DenyAll et Cloud Protector.
Paste your AdWords Remarketing code here

En continuant à naviguer sur notre site Web, vous acceptez l'utilisation de cookies pour : (i) le fonctionnement et l'interactivité de notre site, (ii) la mesure de l'audience de notre site et l'analyse de votre navigation. Pour de plus amples informations, veuillez consulter notre Politique de cookies. En savoir plus

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close