Zerodium offre 300 000 dollars pour des failles dans WordPress

Zerodium, une société qui achète des exploits de sécurité pour les revendre ensuite à des entités gouvernementales, a triplé son prix pour les exploits RCE (Remote Command Execution) de WordPress.

Dans un tweet envoyé le vendredi 9 avril, Zerodium a annoncé qu’elle avait temporairement triplé le prix qu’elle verse aux chercheurs en sécurité pour les exploits RCE de WordPress. La somme versée passe de 100 000 à 300 000 dollars.

Qu’est-ce que cela signifie pour la sécurité de WordPress ?

Le marché des exploits, comme tout autre marché, fonctionne selon les principes de base de l’offre et de la demande. Une augmentation des prix doit également signifier que la demande est supérieure à l’offre d’exploits RCE pour WordPress.

Cela pourrait indiquer que WordPress devient plus sûr et qu’il est de plus en plus difficile de trouver les failles de sécurité critiques que les acheteurs recherchent. D’un autre côté, nous devons également supposer que ces types d’exploits existent déjà et sont déjà activement vendus sur Zerodium et d’autres plateformes similaires.

Nous pourrions également conclure que si un gouvernement est prêt à payer plus de 300 000 dollars pour un exploit RCE WordPress, c’est qu’il a l’intention de l’utiliser. Il se peut même que les gouvernements du monde entier troquent les exploits afin que le vendeur, en l’occurrence Zerodium, obtienne le meilleur prix.

Selon le tweet :

L’exploit doit fonctionner avec la dernière version de WordPress, l’installation par défaut, aucun plugin tiers, aucune authentification, aucune interaction avec l’utilisateur !

WordPress étant très présent sur le web, un exploit contre le noyau WordPress présentant ces caractéristiques serait dévastateur pour l’ensemble du web s’il tombait entre de mauvaises mains. Espérons qu’un gouvernement soucieux de vos intérêts soit le plus offrant !

Pour se protéger contre une telle attaque, il faut mettre en œuvre une stratégie de sécurité de défense en profondeur pour tenter de l’empêcher. Cette stratégie doit inclure un pare-feu d’application Web (WAF), la journalisation, le renforcement de WordPress et des plugins de sécurité WordPress.

Il est également intéressant de noter que Zerodium a été mentionné dans le piratage du serveur PHP Git il y a quelques semaines seulement.

Photo by Fikret tozak on Unsplash

Author avatar
Yvon
https://oeildelynx.net