Les pirates informatiques exploitent activement une faille zero-day dans le fameux plugin Easy WP SMTP WorPress installé sur plus de 500 000 sites. Cet exploit permet aux acteurs de la menace de réinitialiser les mots de passe des comptes administrateurs. Ce plugin nommé SMTP WordPress a été installé sur plus de 500 000 sites, mais malgré le correctif de sécurité publié plus tôt cette semaine, plusieurs sites n’ont pas encore reçu le correctif en question. Le plugin WP SMTP WordPress permet de configurer et d’envoyer tous les e-mails sortant à travers un serveur SMTP, empêchant les e-mails d’aller dans le dossier indésirable/spam des destinataires.

La faille zero-day touche la version WP SMTP 1.4.2 ainsi que ses versions antérieures, et réside au niveau d’une fonctionnalité permettant la création des journaux de débogage pour l’ensemble des e-mails envoyés par le site et leur stockage dans le dossier d’installation. D’après l’équipe de Ninja Technologies Network (NinTechNet), le plugin WP SMTP 1.4.2 ainsi que ses versions antérieures sont dotés de cette fonctionnalité. Les pirates exploitent la vulnérabilité pour identifier le compte administrateur dans le journal et essayent de réinitialiser le mot de passe d’un compte administrateur.

La procédure de réinitialisation du mot de passe consiste en l’envoi d’un e-mail avec le lien de réinitialisation du mot de passe au compte administrateur, et cet e-mail est signalé dans le journal de débogage Easy WP SMTP. Vu que la réinitialisation du mot de passe engage l’envoi d’un e-mail avec un lien, cet e-mail est aussi enregistré dans le journal de débogage du plugin. Les pirates accèdent au journal de débogage suite à la réinitialisation du mot de passe, puis cherchent le lien de réinitialisation et enfin contrôlent le compte administrateur du site. La faille a été corrigée par l’équipe de développement derrière le plugin avec la sortie d’Easy WP SMTP 1.4.4.