Des dizaines de plug-ins pour le logiciel de blogging Web open source largement utilisé WordPress sont désormais hors ligne après la découverte d’une porte dérobée, utilisée pour envoyer du code malveillant vers tout site Web qui s’appuyait sur ces plug-ins. La porte dérobée a été découverte après qu’un nouveau propriétaire d’entreprise ait acheté ces plug-ins.
Le fondateur d’Anchor Hosting, Austin Ginder, a tiré la sonnette d’alarme dans un article de blog la semaine dernière décrivant une attaque de chaîne d’approvisionnement contre un fabricant de plug-ins WordPress appelé Essential Plugin. Ginder a déclaré que quelqu’un avait acheté Essential Plugin l’année dernière et que la porte dérobée avait rapidement été ajoutée au code source des plug-ins. La porte dérobée est restée inactive jusqu’au début du mois, lorsqu’elle s’est activée et a commencé à distribuer du code malveillant à tout site Web sur lequel les plug-ins étaient installés.
Essential Plugin indique sur son site Web qu’il compte plus de 400 000 installations de plug-ins et plus de 15 000 clients. La page d’installation des plug-ins de WordPress indique que les plug-ins concernés se trouvent dans plus de 20 000 installations WordPress actives.
Les plug-ins permettent aux propriétaires de sites Web basés sur WordPress d’étendre les fonctionnalités du site, mais ce faisant, ils accordent aux plug-ins l’accès à leurs installations, ce qui peut ouvrir ces sites Web à des extensions malveillantes et à des compromis potentiels. Mais Ginder a averti que les utilisateurs de WordPress ne sont pas informés du changement de propriétaire des plug-ins, ce qui les expose à d’éventuelles attaques de rachat de la part de leurs nouveaux propriétaires.
Selon Ginder, il s’agit du deuxième détournement d’un plug-in WordPress découvert en autant de semaines. Les chercheurs en sécurité mettent depuis longtemps en garde contre les risques que des acteurs malveillants achètent des logiciels et modifient leur code afin de compromettre un grand nombre d’ordinateurs dans le monde.
Bien que les plug-ins aient été supprimés du répertoire de WordPress et indiquent désormais leur fermeture comme « permanente », Ginder a averti que les propriétaires de WordPress devraient vérifier si l’un des plug-ins malveillants est toujours installé et le supprimer. Ginder propose une liste des plug-ins concernés dans le billet de blog.
Les représentants d’Essential Plugin n’ont pas répondu à une demande de commentaires.
