Archives quotidiennes :

Cybersécurité, Entreprise, Mise à jour, Patch

19 000 sites WordPress WooCommerce vulnérables à vendre

Laisser un commentaire

Un internaute annonce sur un forum clandestin la vente de 19 000 sites WordPress vulnérables utilisant WooCommerce. Il exploiterait une faille SQL trés ancienne.

Un pirate informatique repéré dans un darkweb propose à la vente une base de données étonnante. Etonnante sur plusieurs points. D’abord, le hacker malveillant connu pour ses « produits » dans l’espace pirate surveillé indique posséder 19 000 sites sous WordPress faillible. La faille, second étonnement, une injection SQL dans un plugin qui souffrirait d’un problème de sécurité depuis… 21 ans !

Offre sur le darkweb : vente massive de sites vulnérables WordPress + WooCommerce

Sur ce forum darkweb, l’utilisateur a proposé il y a quelques jours à la vente un lot de 19 000 sites WordPress équipés du plugin WooCommerce. Selon l’annonce, ces sites ne sont pas nécessairement des boutiques en ligne : la seule condition est la présence du plugin WooCommerce, largement utilisé pour ajouter des fonctionnalités e‑commerce à WordPress.

L’exploit décrit s’appuie sur une vulnérabilité d’injection SQL (SQLi), citant un identifiant CVE « vieux de 21 ans ». Aucun détail technique n’est fourni dans l’annonce pour relier la vulnérabilité à un CVE précis. Soit le pirate ment, mais il est connu dans le milieu donc risquerait de ce faire bannir de l’ensemble de ses business, soit le pirate n’est pas fou et n’a pas envie de voir les sites trop rapidement corrigés. L’attaque permettrait d’extraire tout contenu de la base de données : hachages de mots de passe, paramètres de configuration, voire potentiellement des informations sensibles selon le contenu des bases.

Caractéristiques de l’offre malveillante

L’annonce indique que le vendeur a collecté ces accès mais n’a pas procédé à une exploitation approfondie, déclarant manquer de temps et souhaitant financer un autre projet. Le prix de la base de sites vulnérables est fixé à 2 000 €. Le vendeur affirme que la faille toucherait diverses typologies de sites WordPress : boutiques en ligne, sites associatifs avec bouton de don, et plateformes diverses utilisant WooCommerce, ce qui inclut de fait de nombreux commerces ou sites de collecte de fonds.

L’annonce spécule sur la présence éventuelle de numéros de cartes bancaires en base, mais le vendeur indique ne pas avoir automatisé leur extraction à grande échelle. Il sollicite d’ailleurs d’éventuelles méthodes ou scripts d’automatisation permettant d’accélérer cette opération, en promettant d’étudier toute suggestion reçue (sic!).

WooCommerce reste le plugin e‑commerce le plus déployé dans l’écosystème WordPress, avec plus de 5 millions d’installations actives selon WordPress.org. L’historique des vulnérabilités SQLi sur WordPress et WooCommerce est longuement documenté. Plusieurs failles majeures de type injection SQL ont été découvertes, dont CVE‑2013‑7448 et CVE‑2022‑0072, affectant le cœur de WordPress ou ses extensions e‑commerce.

Malgré la correction de la majorité des failles majeures, l’absence de mises à jour automatiques ou l’usage de versions piratées expose encore de nombreux sites. Les administrateurs des 19 000 sites annoncés n’ont pas « patchés » des vulnérabilités pourtant réparées. Les conséquences : extraction de données personnelles, compromission des comptes administrateurs, exfiltration de listes clients, voire parfois accès à des informations de paiement si elles ne sont pas externalisées.

La vente massive de sites vulnérables n’est pas une nouveauté. ZATAZ.COM, blog de référence dédié aux questions de lutte contre le cybercrime, a déjà alerté de nombreuses fois de ce type de marketing de la malveillance. L’existence d’un marché secondaire actif sur les accès à des sites non sécurisés n’est pas un « fantasme ». Le risque élevé de vols de données clients (mails, identités, commandes), compromission des comptes administrateurs, fraudes, usurpations ou campagnes d’hameçonnage (BEC) ciblées, éventuelle exfiltration de données de paiement, si la gestion des cartes bancaires n’a pas été externalisée à un tiers sécurisé.

L’annonce n’indique pas si des sites français sont concernés. Aucun élément vérifiable ne permet d’attester l’exactitude de la quantité ni la localisation des victimes. Les autorités comme l’ANSSI et la CNIL rappellent régulièrement l’importance de mettre à jour WordPress et ses plugins, et de surveiller toute activité suspecte sur les bases de données e‑commerce.