Un bug critique détecté dans le plugin WordPress officiel de Google avec 300 000 installations actives pourrait permettre aux attaquants d’accéder au propriétaire de la Google Search Console des sites ciblés.
Site Kit est un plugin WordPress conçu par Google pour aider les propriétaires de sites à mieux comprendre comment leurs visiteurs utilisent et trouvent leur site Web via des statistiques officielles collectées à partir de plusieurs outils Google et affichées directement dans le tableau de bord WordPress.
Le plug-in facilite également la mise en place et la configuration de produits Google clés tels que la Search Console, Analytics, Tag Manager, PageSpeed Insights, Optimize et AdSense.
Tableau de bord du kit de site (Google)
Vulnérabilité d’escalade de privilèges
La vulnérabilité d’escalade de privilèges de la console de recherche Google a été découverte par l’équipe Wordfence Threat Intelligence le 21 avril et signalée à l’équipe de sécurité de Google le 22 avril.
Comme le précise Wordfence, le bogue est provoqué par la divulgation de proxySetupURL dans le code source HTML des pages d’administration, une URL utilisée pour connecter le plugin Site Kit à la Google Search Console via Google OAuth.
Cela était associé à un autre problème où « la demande de vérification utilisée pour vérifier la propriété d’un site était une action d’administration enregistrée » ne comportait aucun contrôle de capacité permettant à de telles demandes de provenir d’un utilisateur WordPress authentifié.
« Ces deux failles ont permis aux utilisateurs de niveau abonné de devenir propriétaires de Google Search Console sur n’importe quel site affecté », explique Wordfence.
Une fois qu’un attaquant aurait obtenu l’accès propriétaire à la console de recherche Google d’un site, il pourrait l’utiliser à son avantage de plusieurs façons, y compris l’option de:
• faciliter les campagnes de référencement Black Hat en manipulant les pages de résultats des moteurs de recherche • injecter du code malveillant pour la monétisation illicite (lorsqu’il est associé à d’autres exploits) • supprimer les pages des pages de résultats des moteurs de recherche Google (SERP) • modifier les plans du site • afficher les données de performances concurrentielles
« L’accès injustifié des propriétaires de Google Search Console sur un site a le potentiel de nuire à la visibilité d’un site dans les résultats de recherche Google et d’avoir un impact sur les revenus lorsqu’un attaquant supprime les URL des résultats de recherche », a ajouté Wordfence.
« Plus précisément, il pourrait être utilisé pour aider un concurrent qui souhaite nuire au classement et à la réputation d’un site à mieux améliorer sa propre réputation et son classement. »
Mesures d’atténuation et de défense
Heureusement, Google enverra automatiquement des e-mails de notification aux propriétaires de sites chaque fois que de nouveaux propriétaires de Google Search Console sont ajoutés à un site, indiquant que « les propriétaires de propriétés peuvent modifier les paramètres essentiels qui affectent la façon dont Google Search interagit avec votre site ou votre application ».
Juste au cas où une alerte e-mail pourrait avoir atterri dans le dossier Spam de votre compte de messagerie, Wordfence fournit des instructions détaillées sur la façon de vérifier l’intégrité de la propriété de Google Search Console pour vérifier si un propriétaire voyou a été ajouté par un attaquant malveillant et le supprimer.
Par mesure de précaution supplémentaire, vous pouvez également réinitialiser votre connexion au kit de site WordPress afin de devoir reconnecter tous les services Google précédemment connectés.
Google a corrigé la vulnérabilité le 7 mai avec la sortie de Site Kit 1.8.0, après qu’un correctif pour la faille de sécurité a été rendu public dans le référentiel Github du plugin le 4 mai.
Historique des téléchargements du plugin Site Kit by Google
Tous les utilisateurs du Kit de site sont invités à mettre immédiatement à jour leur installation vers la version 1.8.0, la dernière version entièrement corrigée disponible.
Malheureusement, alors que près de 200 000 propriétaires de sites Web ont mis à jour leurs plugins Site Kit depuis la publication du correctif il y a près d’une semaine, plus de 100 000 sites sont toujours exposés à des attaques tentant d’exploiter cette vulnérabilité.