Une vulnérabilité critique a été détectée dans PHPMailer. Plus de 9 millions de sites web utilisent PHPMailer. C’est une des librairies open source des plus populaires.
Joomla et WordPress pour en nommer quelques uns parmi les CMS et des sites en PHP par millions utilisent la librairie PHPMailer pour envoyer des mails aux utilisateurs en passant par une variété de méthodes y compris l’envois par SMTP.
Il s’agit d’une faille critique qui peut compromettre tous les sites web qui utilisent un système d’envois de courriels.
Découverte par un chercheur en sécurité
Découverte par Dawid Golunski, un chercheur en sécurité Polonais du Legal Hackers, la vulnérabilité critique (CVE-2016-10033 et CVE-2016-10045) permet aux hackers d’exécuter à distance du code source dans l’environnement d’hébergement et de compromettre l’application.
“Pour exploiter la vulnérabilité, un attaquant pourrait cibler des composants communs tels que des formulaires de contact / rétroaction, des formulaires d’inscription, des réinitialisations de mot de passe et d’autres qui envoient des courriers électroniques à l’aide d’une version vulnérable de la classe PHPMailer », écrit Golunski dans l’avis publié ce 26 décembre 2016.
Golunski a déclaré la vulnérabilité aux développeurs de la librairie de façon responsable, qui ont corrigé la vulnérabilité dans leur nouvelle version, PHPMailer 5.2.18, avant qu’il ne communique l’information au public. (Mise à jour du 29/12/2016 à 13h45, un nouveau correctif est disponible: PHPMailer 5.2.20)
Toutes les versions de PHPMailer avant la version critique 5.2.20 sont concernées, il est donc fortement recommandé aux administrateurs web et aux développeurs de mettre à jour la version corrigée.
Nous sommes un des premiers sites francophones à divulguer cette information de la vulnérabilité suite à l’avis de Golunski et des millions de sites web restent non patchés, le chercheur a mis en attente les détails techniques sur la faille afin de permettre aux administrateurs de rectifier cette faille. Toutefois, Golunski a promis dans son communiqué de diffuser plus de détails techniques sur la vulnérabilité dans les prochains jours, y compris un code d’exploit de preuve de concept et une démonstration vidéo qui montrera l’attaque en action. (Mise à jour du 28/12/2016 : Le temps de vous retranscrire cet article, l’exploit a déjà été communiqué et il est déjà disponible !)
Les robots ne vont pas tarder à scanner le web
A l’heure où nous vous écrivons cet article nous estimons qu’une grande partie des sites utilisant cette librairie sont encore vulnérables, nous estimons que 80% sont encore vulnérables, et des robots ne vont pas tarder à apparaître pour scanner le web à la recherche de cette faille pour l’exploiter.
Nous vous recommandons donc vivement de faire au plus vite pour patcher la librairie PHPMailer de votre site web afin de vous éviter des mésaventures. Si vous utilisez un CMS, surveillez chaque jour les mises à jour de votre CMS et n’hésitez à mettre à jour votre système avec les dernières versions.
Ressources additionnelles
- https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html
- https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10045-Vuln-Patch-Bypass.html
- https://github.com/PHPMailer/PHPMailer/blob/master/SECURITY.md
- https://github.com/PHPMailer/PHPMailer/wiki/About-the-CVE-2016-10033-and-CVE-2016-10045-vulnerabilities
- Communiqué de Joomla à propos de cette faille: https://www.joomla.fr/actualites/joomla-org/item/1658-vulnerabilite-de-phpmailer-le-point-sur-la-situation
N’hésitez pas à nous contacter si vous avez besoin d’aide.