La faille de sécurité a été découverte dans Flywheel, une plateforme qui offre l'hébergement WordPress et des services connexes. Elle permet un attaquant de déployer un code malveillant sur une victime et de prendre le contrôle d’un sous-domaine par la suite.

Dans un billet de blog, Ahmed Elmalky affirme avoir pu exploiter la vulnérabilité en trouvant une page hébergée par Flywheel mais qui n'était pas configurée correctement. Il s'est abonné à Flywheel, et il a créé un site et l'a relié au sous-domaine vulnérable, le prenant ainsi en charge.

"Un attaquant peut utiliser cette mauvaise configuration pour prendre le contrôle du sous-domaine, publier du contenu arbitraire, exécuter du code JavaScript malveillant chez l'utilisateur, récolter des informations d'identification à l'aide d'attaques de phishing, défigurer un site web... [et] voler les cookies de l'utilisateur si les cookies sont liés au domaine parent et passer à la prise de contrôle du compte", écrit Elmalky.

Afin de se protéger contre cette attaque simple mais potentiellement dommageable, les utilisateurs finaux doivent vérifier les enregistrements DNS disponibles et s'assurer qu'ils savent exactement comment ils sont utilisés et quel type de services ou d'applications y sont gérés, a déclaré Elmalky au Daily Swig.

Il a ajouté : "Passez en revue vos entrées DNS et supprimez toutes les entrées qui sont actives mais ne sont plus utilisées, en particulier celles qui pointent vers des services externes, et assurez-vous de supprimer l'enregistrement CNAME expiré dans le fichier de zone DNS".

"N'oubliez pas l'embarquement - ajoutez la suppression des entrées DNS à votre liste de contrôle", poursuit-il. "Lorsque vous créez une nouvelle ressource, faites de la création de l'enregistrement DNS la dernière étape du processus pour éviter qu'elle ne pointe vers un domaine inexistant".

Le chercheur, de la société américaine de renseignement sur les cybermenaces Resecurity, a également déclaré que dans le cadre de son travail, il a vu "plusieurs campagnes menées par des acteurs de la menace et des groupes de pirates informatiques exploitant activement cette faille".

Elmalky explique : "Ils créent de faux sites Web en utilisant des sous-domaines légitimes (enregistrements A) d'organisations bien connues et déploient leur code malveillant ou leur contenu de phishing ou d'autres scénarios nuisibles pour attaquer les utilisateurs finaux."