Cette faille de sécurité découverte permet à tout utilisateur authentifié, quelle que soit sa capacité, de devenir propriétaire d’un compte Google Search Console associé pour tout site exécutant le plugin Google Kit Site WordPress.
La vulnérabilité permet à un hacker de passer à travers les privilèges du site et d’attaquer une visibilité de recherche des victimes, de modifier les sitemaps et plus encore.
La vulnérabilité a été découverte par Chloe Chamberland, chercheuse en sécurité de WordFence, le 21 Avril 2020 et signalée à Google le même jour. Un patch a été publié par Google le 7 mai 2020.
Pour rappel, Google Kit Site est un plugin WordPress utilisé pour obtenir et afficher des informations sur les visiteurs d’un site et les performances de recherche ainsi que les performances publicitaires, les aperçus de vitesse de page et d’autres mesures des services Google dans le tableau de bord WordPress.
Pour ce faire, le plugin se connecte d’abord à un compte Google Search Console, fournissant plus tard des capacités supplémentaires pour se connecter à Analytics, AdSense, PageSpeed Insights, Optimize et Tag Manager.
Google Site Kit affiche donc des informations sur votre site dans le tableau de bord WordPress Admin. Il regroupe les informations de Google Search Console, Google Analytics, AdSense, Page Speed Insights et d’autres outils Google.
Et voici ce que Wordfence déclare en substance dans son post :
La vulnérabilité affectant Google Site Kit est un exploit “Privilege Escalation”. Ce type d’exploit exige qu’un attaquant soit enregistré sur le site WordPress (par exemple, en tant qu’abonné) afin de profiter d’une faille de sécurité.
La vulnérabilité permet à un hacker de passer à travers les privilèges du site et d’attaquer une visibilité de recherche des victimes, de modifier les sitemaps et plus encore.
La vulnérabilité a été découverte par Chloe Chamberland, chercheuse en sécurité de WordFence, le 21 Avril 2020 et signalée à Google le même jour. Un patch a été publié par Google le 7 mai 2020.
Pour rappel, Google Kit Site est un plugin WordPress utilisé pour obtenir et afficher des informations sur les visiteurs d’un site et les performances de recherche ainsi que les performances publicitaires, les aperçus de vitesse de page et d’autres mesures des services Google dans le tableau de bord WordPress.
Pour ce faire, le plugin se connecte d’abord à un compte Google Search Console, fournissant plus tard des capacités supplémentaires pour se connecter à Analytics, AdSense, PageSpeed Insights, Optimize et Tag Manager.
Google Site Kit affiche donc des informations sur votre site dans le tableau de bord WordPress Admin. Il regroupe les informations de Google Search Console, Google Analytics, AdSense, Page Speed Insights et d’autres outils Google.
Huge story from @infosecchloe via @wordfence. Vulnerability in Google's Site Kit gives any user on your site full access to Google Search Console, bypassing site ownership verification. https://t.co/eY4JcLQkbr
— Mark Maunder (@mmaunder) May 13, 2020
Une vulnérabilité dans Google Site Kit donne à n’importe quel utilisateur sur votre site un accès complet à Google Search Console, en contournant la vérification de la propriété du site.
Et voici ce que Wordfence déclare en substance dans son post :
Ceci est considéré comme un problème de sécurité critique qui pourrait conduire à des hackers d’obtenir l’accès propriétaire votre site dans Google Search Console.
L’accès du propriétaire permet à un attaquant de modifier les sitemaps, de supprimer des pages des pages de résultats des moteurs de recherche Google (SERPs) ou de faciliter les campagnes de référencement de type black hat.
Nous recommandons fortement une mise à jour immédiate de la dernière version de ce plugin. Au moment d’écrire ces lignes, c’est la version 1.8.0 de Google Site Kit.
Vulnérabilité à l’escalade des privilèges
La vulnérabilité affectant Google Site Kit est un exploit “Privilege Escalation”. Ce type d’exploit exige qu’un attaquant soit enregistré sur le site WordPress (par exemple, en tant qu’abonné) afin de profiter d’une faille de sécurité.
Normalement, un utilisateur enregistré au niveau de l’abonné a des privilèges minimes sur un site Web. La vulnérabilité permet cependant à un attaquant d’obtenir des privilèges de site de niveau Admin, d’augmenter ses privilèges d’accès au site.
Selon la chercheuse de Wordfence Chloe Chamberland sur la vulnérabilité :
Connecter deux systèmes, comme un site WordPress et les outils de propriété du site de Google, comporte toujours un certain degré de risque. Il est d’une importance cruciale de veiller à ce que l’intégration entre les deux systèmes soit assurée.
Lorsque des entreprises comme Google ont une politique de divulgation de vulnérabilité facile à trouver sur place, cela aide les chercheurs à obtenir des correctifs rapidement pour les utilisateurs finaux.
À mesure que l’espace mûrit, nous voyons de plus en plus de développeurs publier des politiques claires de divulgation des vulnérabilités, mais il reste encore beaucoup à faire pour s’assurer que les chercheurs en sécurité et les développeurs peuvent se connecter rapidement et rendre le Web plus sûr pour nous tous.
Les abonnés au plugin de sécurité WordFence Premium auraient été protégés de cet exploit le jour même de sa découverte, quelques semaines avant la publication du patch par Google.
Comme mentionné plus haut, cette vulnérabilité affecte les versions Google Site Kit qui sont inférieures à la version 1.8.0.
Google Site Kit 1.8.0 a été entièrement corrigé. Il est fortement recommandé que les utilisateurs mettent à jour leur plugin Google Kit Site immédiatement.
