Les chercheurs de Wordfence ont sonné l’alarme concernant un pic « soudain » de cyberattaques tentant d’exploiter une faille non corrigée dans un plugin WordPress appelé Modules Kaswara Modern WPBakery Page Builder.

Suivi comme CVE-2021-24284le problème est noté 10.0 sur le système de notation des vulnérabilités CVSS et concerne un téléchargement de fichier arbitraire non authentifié qui pourrait être abusé pour obtenir l’exécution de code, permettant aux attaquants de prendre le contrôle des sites WordPress concernés.

Bien que le bogue ait été à l’origine divulgué en avril 2021 par la société de sécurité WordPress, il reste à ce jour non résolu. Pour aggraver les choses, le plugin a été fermé et n’est plus activement maintenu.

Wordfence, qui protège plus de 1 000 sites Web sur lesquels le plugin est installé, a déclaré avoir bloqué en moyenne 443 868 tentatives d’attaque par jour depuis le début du mois.

Les attaques ont émané de 10 215 adresses IP, la majorité des tentatives d’exploitation étant réduites à 10 adresses IP. Celles-ci impliquent le téléchargement d’une archive ZIP contenant un fichier PHP malveillant qui permet à l’attaquant de télécharger des fichiers malveillants sur le site Web infecté.

Le but de la campagne, semble-t-il, est d’insérer du code dans des fichiers JavaScript par ailleurs légitimes et de rediriger les visiteurs du site vers des sites Web malveillants. Il convient de noter que les attaques ont été suivies par Avast et Sucuri sous les noms Parrot TDS et NDSW, respectivement.

Entre 4 000 et 8 000 sites Web auraient le plugin installé, ce qui rend impératif que les utilisateurs le suppriment de leurs sites WordPress pour contrecarrer les attaques potentielles et trouver une alternative appropriée.