CVE-2023-4634 Détection : Vulnérabilité RCE Non Authentifiée dans le Plugin WordPress Media Library Assistant
Table des matières :
Les chercheurs en sécurité ont lancé un avertissement sévère concernant une vulnérabilité critique, désignée comme CVE-2023-4634, qui affecte un nombre alarmant de plus de 70 000 sites WordPress dans le monde. Cette vulnérabilité provient d’une faille de sécurité dans le plugin WordPress Media Library Assistant, un plugin extrêmement populaire et largement utilisé au sein de la communauté WordPress. Avec cette vulnérabilité déjà exploitée dans la nature et la disponibilité immédiate d’un exploit proof-of-concept, le risque que les attaques s’intensifient et se propagent encore plus dans l’écosystème WordPress devient encore plus préoccupant.
Détecter les tentatives d’exploitation de CVE-2023-463
Détection proactive de l’exploitation de vulnérabilités reste l’un des cas d’utilisation de sécurité les plus importants en raison du nombre croissant de CVE impactant des logiciels populaires, ce qui pose de sérieux défis aux organisations utilisant ces produits et nécessite une attention particulière de la part des défenseurs. Le nouveau bug de sécurité WordPress suivi sous le code CVE-2023-4634 est en pleine lumière avec l’exploit PoC publiquement disponible sur GitHub. SOC Prime fournit aux défenseurs un flux rapide d’actualités de sécurité et permet aux organisations progressives d’accéder au contenu de détection le plus récent pour identifier en temps opportun toute trace d’attaque.
Pour aider les équipes de sécurité à détecter de manière proactive les tentatives d’exploitation de CVE-2023-4634, la plateforme SOC Prime a récemment publié une nouvelle règle Sigma en réponse aux menaces croissantes qui affectent les utilisateurs de WordPress. Suivez le lien ci-dessous pour accéder à la règle Sigma dédiée écrite par notre développeur Threat Bounty avisé Mustafa Gurkan KARAKAYA:
Cette règle Sigma détecte une possible exploitation RCE non authentifiée sur WordPress Media Library Assistant en envoyant une charge utile malveillante. Le code de détection peut être instantanément convertible pour 18 technologies SIEM, EDR, XDR et Data Lake, et est aligné avec le cadre MITRE ATT&CK® abordant la tactique d’accès initial et la technique Exploiter une application accessible au public (T1190) de son arsenal.
Les ingénieurs en détection aspirants peuvent affiner leurs compétences Sigma et ATT&CK en rejoignant le Programme Threat Bounty. Entraînez vos compétences en codage de détection pour progresser dans une carrière d’ingénieur tout en enrichissant l’expertise collective de l’industrie et en gagnant des récompenses financières pour votre contribution.
Pour parcourir l’intégralité de la collection de règles Sigma pour la détection des CVE et plonger dans le renseignement sur les menaces pertinent, cliquez sur le bouton Explorer les détections ci-dessous.
Analyse de CVE-2023-463
Étant donné la popularité répandue de WordPress en tant que système de gestion de contenu (CMS), avec des millions de sites web s’appuyant dessus dans le monde entier, des vulnérabilités comme celles de l’extension Media Library Assistant posent un risque significatif pour les organisations mondiales. Les attaquants pourraient utiliser des sites WordPress compromis comme point d’entrée dans le réseau organisationnel, poursuivant d’autres activités malveillantes ou utilisant le site affecté comme plate-forme de lancement pour la distribution de logiciels malveillants et les attaques de phishing.
La vulnérabilité mise en lumière est un problème d’exécution de code à distance (RCE) non authentifié résultant de contrôles insuffisants sur les chemins de fichiers survenant lors du traitement d’images via Imagick. Elle permet aux adversaires de fournir des fichiers via FTP, entraînant une inclusion de fichiers locaux et une exécution de code à distance. Dans ces conditions, un attaquant pourrait potentiellement prendre le contrôle de tout site WordPress non corrigé.
La vulnérabilité affecte les versions du plugin Media Library Assistant antérieures à la 3.10 et nécessite un serveur avec les bibliothèques Imagick installées pour être exploitée. Pour une attaque réussie, Imagick devrait s’appuyer sur des configurations par défaut. Les administrateurs de sites web sont invités à installer le correctif de sécurité depuis le tableau de bord WordPress dès que possible.
Le problème a été découvert par des experts en sécurité de Patrowl, qui ont déjà publié un article détaillé décrivant la faille de sécurité avec PoC pour fournir une compréhension des niveaux de risque.
Avec la croissance des volumes de CVE activement exploités dans la nature, la détection proactive des tentatives d’exploitation est essentielle pour les organisations cherchant à renforcer leur résilience cybernétique. SOC Prime équipe les équipes de sécurité avec Uncoder AI, un IDE unique pour l’ingénierie de détection leur permettant d’écrire un code de détection impeccable avec moins d’effort et de le traduire automatiquement en 64 langages de requête — en utilisant un produit tout-en-un qui garantit une confidentialité totale.
