В WordPress-ملحق مع أكثر من 700 ألف عملية تثبيت نشطة، ثغرة تسمح بتنفيذ أوامر عشوائية ونصوص PHP على الخادم. تظهر المشكلة في إصدارات File Manager من 6.0 إلى 6.8 وتم حلها في الإصدار 6.9.
توفر إضافة مدير الملفات أدوات إدارة الملفات للمسؤول. WordPressباستخدام المكتبة المضمنة لمعالجة الملفات على مستوى منخفض يحتوي كود مصدر مكتبة elFinder على ملفات برمجية نموذجية، تُوفر في مجلد العمل بامتداد ".dist". تكمن الثغرة الأمنية في أنه أثناء توزيع المكتبة، أُعيد تسمية الملف "connector.minimal.php.dist" إلى "connector.minimal.php"، وأصبح متاحًا للتنفيذ عند إرسال طلبات خارجية. يسمح هذا البرنامج النصي بتنفيذ أي عمليات على الملفات (رفع، فتح، تحرير، إعادة تسمية، حذف، إلخ)، حيث تُمرر مُعاملاته إلى دالة run() الخاصة بالمكوّن الإضافي الرئيسي، والتي يُمكن استخدامها لاستبدال ملفات PHP في WordPress وتشغيل التعليمات البرمجية العشوائية.
وما يجعل الخطر أسوأ هو أن الضعف موجود بالفعل لتنفيذ هجمات آلية، يتم خلالها تحميل صورة تحتوي على كود PHP إلى دليل "plugins/wp-file-manager/lib/files/" باستخدام أمر "upload"، والذي تتم بعد ذلك إعادة تسميته إلى برنامج PHP النصي اسمه تم اختياره عشوائيًا ويحتوي على النص "hard" أو "x."، على سبيل المثال، hardfork.php، hardfind.php، x.php، وما إلى ذلك). بمجرد تنفيذه، يضيف كود PHP بابًا خلفيًا إلى ملفات /wp-admin/admin-ajax.php و/wp-includes/user.php، مما يتيح للمهاجمين الوصول إلى واجهة مسؤول الموقع. يتم تنفيذ العملية عن طريق إرسال طلب POST إلى الملف "wp-file-manager/lib/php/connector.minimal.php".
يُشار إلى أنه بعد الاختراق، بالإضافة إلى الخروج من الباب الخلفي، يتم إجراء تغييرات لحماية المزيد من المكالمات إلى ملف Connector.minimal.php، الذي يحتوي على الثغرة الأمنية، وذلك لمنع احتمال قيام مهاجمين آخرين بمهاجمة الخادم.
تم الكشف عن محاولات الهجوم الأولى في 1 سبتمبر الساعة 7 صباحًا (التوقيت العالمي المنسق). في
12:33 (التوقيت العالمي المنسق) أصدر مطورو البرنامج الإضافي File Manager تصحيحًا. وبحسب شركة Wordfence التي حددت الثغرة، فإن جدار الحماية الخاص بها يمنع حوالي 450 ألف محاولة لاستغلال الثغرة يوميا. أظهر فحص الشبكة أن 52% من المواقع التي تستخدم هذا البرنامج الإضافي لم يتم تحديثها بعد وتظل معرضة للخطر. بعد تثبيت التحديث، من المنطقي التحقق من سجل خادم http للمكالمات إلى البرنامج النصي "connector.minimal.php" لتحديد ما إذا كان النظام قد تم اختراقه أم لا.
بالإضافة إلى ذلك، يمكنك ملاحظة الإصدار التصحيحي الذي اقترح .
المصدر: opennet.ru
