Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Sneeit WordPress RCE Exploited in the Wild While ICTBroadcast Bug Fuels Frost Botnet Attacks

1 minute de lecture

Mis à jour :

Menaces Cybernétiques : Exploitations Actives de Vulnérabilités Critiques

Des attaques ciblées exploitent activement deux vulnérabilités majeures : une faille critique dans le plugin Sneeit Framework pour WordPress, et une autre dans ICTBroadcast.

Points Clés :

  • Sneeit Framework (WordPress) :
    • Vulnérabilité : Exécution de code à distance (RCE) non authentifiée, identifiée sous la référence CVE-2025-6389 (score CVSS 9.8). Elle affecte toutes les versions antérieures à la 8.4.
    • Mécanisme : La fonction sneeit_articles_pagination_callback() accepte des entrées utilisateur non validées, permettant l’exécution de fonctions PHP arbitraires.
    • Impact : Les attaquants peuvent créer des comptes administrateurs malveillants, injecter des backdoors, rediriger les visiteurs vers des sites frauduleux, ou distribuer des malwares et du spam. Les attaques ont débuté le 24 novembre 2025.
    • Sources d’attaques observées : Diverses adresses IP, notamment 185.125.50[.]59, 182.8.226[.]51, 89.187.175[.]80.
    • Fichiers malveillants observés : tijtewmg.php, xL.php, Canonical.php, .a.php, simple.php, up_sf.php.
  • ICTBroadcast :
    • Vulnérabilité : Une faille critique identifiée sous la référence CVE-2025-2611 (score CVSS 9.3).
    • Mécanisme : Exploitation de la faille pour télécharger un script stager qui déploie le botnet “Frost”.
    • Impact : Le botnet “Frost” est conçu pour mener des attaques par déni de service distribué (DDoS). Il combine des outils DDoS avec une logique de propagation exploitant 14 vulnérabilités pour 15 CVEs. Les attaques sont ciblées et conditionnelles, vérifiant la présence d’indicateurs spécifiques sur la cible avant de procéder à l’exploitation.
    • Source d’attaques observée : Adresse IP 87.121.84[.]52.

Recommandations :

  • Pour les utilisateurs de Sneeit Framework : Mettre à jour immédiatement le plugin vers la version 8.4 ou supérieure.
  • Pour les utilisateurs d’ICTBroadcast : Appliquer les correctifs disponibles pour la vulnérabilité CVE-2025-2611.
  • Pour tous les utilisateurs : Maintenir à jour tous les plugins et logiciels, surveiller les journaux d’activité pour détecter des comportements suspects, et renforcer les mesures de sécurité des serveurs web.

Source

Vous pourriez aimer