WordPress plaginində 700 mindən çox aktiv quraşdırma ilə, serverdə ixtiyari əmrlərin və PHP skriptlərinin icrasına imkan verən zəiflik. Problem Fayl Menecerinin 6.0-6.8 versiyalarında görünür və 6.9-da həll olunur.
Fayl meneceri plagini, aşağı səviyyəli fayl manipulyasiyası üçün daxil edilmiş kitabxanadan istifadə edərək WordPress administratoru üçün fayl idarəetmə alətləri təqdim edir. . elFinder kitabxanasının mənbə kodu “.dist” uzantısı ilə işçi kataloqunda təqdim olunan kod nümunələri olan fayllardan ibarətdir. Zəiflik kitabxananın göndərildiyi zaman "connector.minimal.php.dist" faylının adının "connector.minimal.php" olaraq dəyişdirilməsi və xarici sorğular göndərilərkən icra üçün əlçatan olması ilə əlaqədardır. Göstərilən skript fayllarla istənilən əməliyyatları yerinə yetirməyə imkan verir (yükləmə, açmaq, redaktor, adını dəyişmək, rm və s.), çünki onun parametrləri PHP fayllarını əvəz etmək üçün istifadə edilə bilən əsas plaqinin run() funksiyasına ötürülür. WordPress-də və ixtiyari kodu işlədin.
Təhlükəni daha da pisləşdirən, zəifliyin artıq olmasıdır avtomatlaşdırılmış hücumlar həyata keçirmək üçün, bu müddət ərzində PHP kodu olan şəkil “plugins/wp-file-manager/lib/files/” kataloquna “yüklə” əmri ilə yüklənir, sonra adı dəyişdirilən PHP skriptinə çevrilir. təsadüfi seçilmiş və “hard” və ya “x.” mətnini ehtiva edir, məsələn, hardfork.php, hardfind.php, x.php və s.). İcra edildikdən sonra PHP kodu /wp-admin/admin-ajax.php və /wp-includes/user.php fayllarına arxa qapı əlavə edərək, təcavüzkarlara sayt administratoru interfeysinə giriş imkanı verir. Əməliyyat “wp-file-manager/lib/php/connector.minimal.php” faylına POST sorğusu göndərməklə həyata keçirilir.
Diqqətəlayiqdir ki, haker hücumundan sonra arxa qapıdan çıxmaqla yanaşı, digər hücumçuların serverə hücum ehtimalının qarşısını almaq üçün boşluq olan connector.minimal.php faylına növbəti zəngləri qorumaq üçün dəyişikliklər edilir.
İlk hücum cəhdləri sentyabrın 1-də səhər saat 7-də (UTC) aşkar edilib. IN
12:33 (UTC) Fayl meneceri plagininin tərtibatçıları yamaq buraxdılar. Zəifliyi müəyyən edən Wordfence şirkətinin məlumatına görə, onların təhlükəsizlik divarı gündə təxminən 450 min boşluqdan istifadə cəhdini bloklayıb. Şəbəkə skanı göstərdi ki, bu plaqindən istifadə edən saytların 52%-i hələ də yenilənməyib və həssas olaraq qalır. Güncəlləməni quraşdırdıqdan sonra sistemin təhlükəyə məruz qalıb-qalmadığını müəyyən etmək üçün http server jurnalında “connector.minimal.php” skriptinə edilən zəngləri yoxlamağın mənası var.
Əlavə olaraq, düzəldici buraxılışı qeyd edə bilərsiniz təklif edən .
Mənbə: opennet.ru