ثغرة خطيرة في البرنامج المساعد File Manager WordPress مع 700 ألف عملية تثبيت

في البرنامج المساعد وورد إدارة الملفاتمع أكثر من 700 ألف عملية تثبيت نشطة، المحددة ثغرة تسمح بتنفيذ أوامر عشوائية ونصوص PHP على الخادم. تظهر المشكلة في إصدارات File Manager من 6.0 إلى 6.8 وتم حلها في الإصدار 6.9.

يوفر البرنامج الإضافي File Manager أدوات إدارة الملفات لمسؤول WordPress، باستخدام المكتبة المضمنة لمعالجة الملفات ذات المستوى المنخفض الباحث. يحتوي الكود المصدري لمكتبة elFinder على ملفات تحتوي على أمثلة للتعليمات البرمجية، والتي يتم توفيرها في دليل العمل بالملحق ".dist". سبب الثغرة الأمنية هو أنه عندما تم شحن المكتبة، تمت إعادة تسمية الملف "connector.minimal.php.dist" إلى "connector.minimal.php" وأصبح متاحًا للتنفيذ عند إرسال طلبات خارجية. يسمح لك البرنامج النصي المحدد بإجراء أي عمليات مع الملفات (تحميل، فتح، محرر، إعادة تسمية، rm، وما إلى ذلك)، حيث يتم تمرير معلماته إلى وظيفة run() للمكون الإضافي الرئيسي، والتي يمكن استخدامها لاستبدال ملفات PHP في WordPress وتشغيل التعليمات البرمجية التعسفية.

وما يجعل الخطر أسوأ هو أن الضعف موجود بالفعل تستخدم لتنفيذ هجمات آلية، يتم خلالها تحميل صورة تحتوي على كود PHP إلى دليل "plugins/wp-file-manager/lib/files/" باستخدام أمر "upload"، والذي تتم بعد ذلك إعادة تسميته إلى برنامج PHP النصي اسمه تم اختياره عشوائيًا ويحتوي على النص "hard" أو "x."، على سبيل المثال، hardfork.php، hardfind.php، x.php، وما إلى ذلك). بمجرد تنفيذه، يضيف كود PHP بابًا خلفيًا إلى ملفات /wp-admin/admin-ajax.php و/wp-includes/user.php، مما يتيح للمهاجمين الوصول إلى واجهة مسؤول الموقع. يتم تنفيذ العملية عن طريق إرسال طلب POST إلى الملف "wp-file-manager/lib/php/connector.minimal.php".

يُشار إلى أنه بعد الاختراق، بالإضافة إلى الخروج من الباب الخلفي، يتم إجراء تغييرات لحماية المزيد من المكالمات إلى ملف Connector.minimal.php، الذي يحتوي على الثغرة الأمنية، وذلك لمنع احتمال قيام مهاجمين آخرين بمهاجمة الخادم.
تم الكشف عن محاولات الهجوم الأولى في 1 سبتمبر الساعة 7 صباحًا (التوقيت العالمي المنسق). في
12:33 (التوقيت العالمي المنسق) أصدر مطورو البرنامج الإضافي File Manager تصحيحًا. وبحسب شركة Wordfence التي حددت الثغرة، فإن جدار الحماية الخاص بها يمنع حوالي 450 ألف محاولة لاستغلال الثغرة يوميا. أظهر فحص الشبكة أن 52% من المواقع التي تستخدم هذا البرنامج الإضافي لم يتم تحديثها بعد وتظل معرضة للخطر. بعد تثبيت التحديث، من المنطقي التحقق من سجل خادم http للمكالمات إلى البرنامج النصي "connector.minimal.php" لتحديد ما إذا كان النظام قد تم اختراقه أم لا.

بالإضافة إلى ذلك، يمكنك ملاحظة الإصدار التصحيحي وورد 5.5.1 الذي اقترح 40 الإصلاحات.

المصدر: opennet.ru