in Sécurité

Advisory : Une vulnérabilité zéro-day permet de réinitialiser le mot de passe Admin sur WordPress (CVE-2017-8295)

Que s’est-il passé ?

WordPress est l’un des systèmes de gestion de contenu les plus populaires (CMS), utilisé par des milliers d’utilisateurs et de sites Web, en raison de sa flexibilité, de ses fonctionnalités et de son interface facile à utiliser. WordPress est également le premier CMS ciblé par les hackers, avec un retour sur investissement élevé en cas d’attaque réussie, et généralement automatisée.

Des vulnérabilités sur WordPress sont découvertes chaque jour. Aujourd’hui, une vulnérabilité zéro-day permet aux attaquants de réinitialiser le mot de passe des utilisateurs ciblés dans certaines circonstances. La vulnérabilité (CVE-2017-8295) affecte toutes les versions de WordPress, y compris la dernière version 4.7.4.

Détails de la vulnérabilité CVE-2017-8295

Selon Dawid Golunski et TheHackerNews, lors de l’envoi de cet email de réinitialisation du mot de passe, WordPress utilise une variable appelée SERVER_NAME pour obtenir le nom d’hôte d’un serveur pour définir les valeurs des champs From/Return-Path :

Source de l’image : TheHackerNews

Des informations détaillées sur la façon dont cette vulnérabilité peut être exploitée par des personnes malveillantes sont disponibles dans l’article  UnPatched WordPress Flaw Could Allow Hackers to Reset Admin Password (TheHackerNews).

Comment remédier à cette vulnérabilité ? Les produits DenyAll sont-ils concernés ?

Heureusement, si vous avez un WAF DenyAll devant votre site WordPress, c’est-à-dire pour les clients de DenyAll Web Application Firewall, DenyAll Web Services Firewall et DenyAll rWeb, vous êtes protégé contre cette vulnérabilité. Par défaut, le reverse proxy intégré à nos WAFs n’accepte pas les hôtes inconnus et bloquera (et enregistrera) les noms des potentiels hôtes inconnus.

La vulnérabilité a été publiquement divulguée et aucun patch n’a été publié par l’équipe de sécurité WordPress. Si vous n’êtes pas équipé d’un pare-feu applicatif Web, nous vous conseillons de mettre à jour votre configuration serveur pour activer “UseCanonicalName” afin de bloquer et maintenir la valeur “static/predefined SERVER_NAME”.

En raison d’un cas urgent, d’un manque d’expertise technique ou de sécurité, je vous invite à visiter CloudProtector.com, un firewall applicatif Web qui vous permet de protéger votre site WordPress en un seul clic au prix d’un forfait mobile. CloudProtector intègre un template de sécurité préétabli pour les sites Web basés sur le CMS WordPress. Un simple changement DNS suffit à vous protéger, pourquoi ne pas essayer l’offre gratuite de 14 jours ?

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.