Google Site Kit WordPress et la vulnérabilité du compte Search Console

Le 21 avril, l’équipe de Threat Intelligence a découvert une faille de dans Google Site Kit, un plugin installé sur plus de 400.000 sites aujourd’hui.

Google Site Kit WordPress a une vulnérabilité qui impacte le compte Search Console

Cette faille de sécurité découverte permet à tout utilisateur authentifié, quelle que soit sa capacité, de devenir propriétaire d’un compte Search Console associé pour tout site exécutant le plugin Google Kit Site WordPress.

La vulnérabilité permet à un hacker de passer à travers les privilèges du site et d’attaquer une visibilité de recherche des victimes, de modifier les sitemaps et plus encore.

La vulnérabilité a été découverte par Chloe Chamberland, chercheuse en sécurité de WordFence, le 21 Avril 2020 et signalée à Google le même jour. Un patch a été publié par Google le 7 mai 2020.  

Pour rappel, Google Kit Site est un plugin WordPress utilisé pour obtenir et afficher des informations sur les visiteurs d’un site et les performances de recherche ainsi que les performances publicitaires, les aperçus de vitesse de page et d’autres mesures des services Google dans le tableau de bord WordPress.

Pour ce faire, le plugin se connecte d’abord à un compte Google Search Console, fournissant plus tard des capacités supplémentaires pour se connecter à Analytics, AdSense, PageSpeed Insights, Optimize et Tag Manager.

Google Site Kit affiche donc des informations sur votre site dans le tableau de bord WordPress Admin. Il regroupe les informations de , , AdSense, Page Speed Insights et d’autres outils Google.

Une vulnérabilité dans Google Site Kit donne à n’importe quel utilisateur sur votre site un accès complet à Console, en contournant la vérification de la propriété du site.

Et voici ce que Wordfence déclare en substance dans son post :  

Ceci est considéré comme un problème de sécurité critique qui pourrait conduire à des hackers d’obtenir l’accès propriétaire votre site dans Google Search Console.

L’accès du propriétaire permet à un attaquant de modifier les sitemaps, de supprimer des pages des pages de résultats des moteurs de recherche Google (SERPs) ou de faciliter les campagnes de référencement de type black hat.

Nous recommandons fortement une mise à jour immédiate de la dernière version de ce plugin. Au moment d’écrire ces lignes, c’est la version 1.8.0 de Google Site Kit.  

Vulnérabilité à l’escalade des privilèges

La vulnérabilité affectant Google Site Kit est un exploit “Privilege Escalation”. Ce type d’exploit exige qu’un attaquant soit enregistré sur le site WordPress (par exemple, en tant qu’abonné) afin de profiter d’une faille de sécurité. 

La vulnérabilité affectant Google Site Kit est un exploit “Privilege Escalation”.

 

Normalement, un utilisateur enregistré au niveau de l’abonné a des privilèges minimes sur un site Web. La vulnérabilité permet cependant à un attaquant d’obtenir des privilèges de site de niveau Admin, d’augmenter ses privilèges d’accès au site.

Selon la chercheuse de Wordfence Chloe Chamberland sur la vulnérabilité :

Connecter deux systèmes, comme un site WordPress et les outils de propriété du site de Google, comporte toujours un certain degré de risque. Il est d’une importance cruciale de veiller à ce que l’intégration entre les deux systèmes soit assurée.

Lorsque des entreprises comme Google ont une politique de divulgation de vulnérabilité facile à trouver sur place, cela aide les chercheurs à obtenir des correctifs rapidement pour les utilisateurs finaux.

À mesure que l’espace mûrit, nous voyons de plus en plus de développeurs publier des politiques claires de divulgation des vulnérabilités, mais il reste encore beaucoup à faire pour s’assurer que les chercheurs en sécurité et les développeurs peuvent se connecter rapidement et rendre le Web plus sûr pour nous tous.

Les abonnés au plugin de sécurité WordFence Premium auraient été protégés de cet exploit le jour même de sa découverte, quelques semaines avant la publication du patch par Google.

Comme mentionné plus haut, cette vulnérabilité affecte les versions Google Site Kit qui sont inférieures à la version 1.8.0.

Google Site Kit 1.8.0 a été entièrement corrigé. Il est fortement recommandé que les utilisateurs mettent à jour leur plugin Google Kit Site immédiatement

Auteur : Noel NGUESSAN

Je suis Noel Nguessan, fondateur du site Arobasenet.com qui existe depuis 2007 et a aujourd'hui plus de 6.800 articles. Pour ma part, j'ai intégré le monde de l'internet en 1997 en qualité de créateur de site internet, avant de devenir développeur web et multimédia au début de l'année 2000, avant de basculer naturellement vers le SEO en tant que Consultant.