Qu'est-ce que CVE-2024-10924 ?

Un contournement d'authentification dans le plugin Really Simple Security (anciennement Really Simple SSL) affectant les versions 9.0.0 à 9.1.1.1. Lorsque l'authentification à deux facteurs était activée, une faille logique dans le gestionnaire de connexion utilisateur de la REST API permettait à un attaquant non authentifié d'usurper n'importe quel utilisateur, y compris les administrateurs.

Combien de sites ont été affectés ?

Really Simple Security compte environ quatre millions d'installations actives. Le chemin de code vulnérable n'était actif que lorsque le 2FA était activé dans le plugin, mais la plage patchée couvrait toutes les installations qui se sont mises à jour durant cette fenêtre.

J'ai patché après la divulgation. Était-ce suffisant ?

Patching closes the door for new attempts. It does not undo a successful intrusion. If the site was vulnerable for any window after public disclosure in November 2024, treat it as compromised until you have verified there are no sleeper admins, no unfamiliar files, and no autoloaded options that you didn't create.

Que font les attaquants après une connexion réussie ?

Schéma standard : créer un admin dormant, planter une backdoor dans un fichier de plugin ou de thème, déposer un web shell dans wp-content/uploads/, et soit installer un plugin malveillant, soit activer un déjà installé. Le site continue de fonctionner normalement ; l'attaquant revient plus tard.

// CVE-2024-10924 · CONTOURNEMENT D'AUTH · 4 M DE SITES

Really Simple Security cleanup.

Contournement d'auth dans Really Simple Security (CVE-2024-10924). 4 M de sites. Nettoyage manuel. Forfait $279.

Démarrer un nettoyage → À propos du bug

§ 01 — EN QUOI CONSISTAIT LE BUG

Contournement d'authentification via l'endpoint REST 2FA.

Really Simple Security exposait une route REST utilisée pour finaliser son flux de connexion à deux facteurs. Le handler acceptait un user_id depuis la requête et authentifiait l'appelant en tant que cet utilisateur sans vérifier que l'appelant avait passé le premier facteur. Un attaquant non authentifié pouvait demander user_id=1 et être connecté en tant qu'administrateur du site.

Versions affectées : 9.0.0 à 9.1.1.1. Patchée en 9.1.2. Le chemin de code vulnérable était actif lorsque la fonction 2FA du plugin était activée — mais la release patchée a été poussée en mise à jour automatique forcée, et la divulgation était publique, donc l'activité d'attaque a commencé immédiatement.

§ 02 — INDICATEURS QUE NOUS CHERCHONS

Où les attaquants laissent des traces après une connexion réussie.

[ UTILISATEURS ]
Comptes administrateur créés dans la fenêtre de divulgation (après 2024-11-12). Vérifiez wp_users.user_registered par rapport à vos archives.
[ FICHIERS ]
PHP récemment modifié dans wp-content/plugins/, wp-content/mu-plugins/, wp-content/themes/active-theme/, et tout PHP dans wp-content/uploads/.
[ OPTIONS ]
Lignes autoload de wp_options ajoutées depuis la divulgation ; valeurs encodées en base64 suspectes ; entrées active_plugins frauduleuses.
[ JOURNAL D'ACCÈS ]
Requêtes POST vers /wp-json/reallysimplessl/v1/two_fa/skip_onboarding (et routes associées). Nombreuses requêtes avec statut 200 depuis un petit ensemble d'IP.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →