Vulnérabilité « Malicious Polyfill.io Embed »

La vulnérabilité « Malicious Polyfill.io Embed » affecte de nombreux plugins WordPress et permet à des attaquants de compromettre des sites web en utilisant une backdoor. Cette attaque de grande envergure a été facilitée par l’acquisition du domaine Polyfill.io par Funnull, une société chinoise, en février 2024. Polyfill.io injectait des charges utiles malveillantes dans les sites web qui l’utilisaient, compromettant ainsi plus de 100 000 sites, dont ceux d’Intuit et du Forum économique mondial.

Plugins Touchés

• ADDRESSYA <= 3.1.1
• Alfred Easy Shipping <= 1.0.5
• Amelia <= 1.1.8
• BLAZE Retail Widget <= 2.5.2
• Canvas-Nest.js <= 1.0.1
• CommandBar for WP Admin <= 1.0.7
• Contact Form 7 Multi-Step Addon <= 1.0.5
• Digital River Global Commerce <= 2.0.2
• Field Day <= 3.3.8
• FireBox <= 2.1.15
• Jobs.af <= 1.0.1
• Magic Conversation For Gravity Forms <= 3.0.94
• Meal Tracker <= 3.1.6
• Mine Video Player <= 2.8.11
• Pixel Manager for WooCommerce <= 1.43.3
• Qualified Electronic Signatures by eID Easy <= 3.3.0
• ShipAny <= 1.1.51
• Simply Show Hooks <= 1.2.1
• Social Warfare <= 4.4.7.1
• Viva Payments <= 1.2
• YITH WooCommerce Affiliates <= 3.8.0
• alfred24 Click & Collect <= 1.1.7
• weForms <= 1.6.23
• wp-code-highlightjs <= 0.6.3
• …

Contexte de la Menace

Cette vulnérabilité est liée à un rachat malveillant du domaine et du compte GitHub de polyfill.io par une entreprise chinoise, qui l’utilise pour injecter des malwares. Polyfill.io était utilisé pour fournir des fonctionnalités JavaScript aux anciens navigateurs, mais il est désormais obsolète avec les navigateurs modernes.

Mesures immédiates

• Utilisez uBlock Origin, qui bloque déjà polyfill.io.
• Remplacez ou mettez à jour les plugins vulnérables.
• Utilisez des solutions de sécurité comme Cloudflare, qui remplace les requêtes à polyfill.io par des ressources sûres.

Protection continue

• Supprimez toute référence à polyfill.io dans votre code.
• Utilisez des alternatives de confiance comme celles de Fastly ou Cloudflare.
• Surveillez l’activité de votre site et utilisez des outils de détection de malwares.

Pour protéger votre site WordPress, il est crucial de mettre régulièrement à jour tous les plugins et thèmes, d’utiliser des plugins de sécurité comme Patchstack pour le patching virtuel, et de s’assurer que des sauvegardes sont régulièrement effectuées. Si votre site a été compromis, il est recommandé d’utiliser des services professionnels de réponse aux incidents et de faire des analyses de malware côté serveur.