Критична уязвимост в приставката за файловия мениджър на WordPress със 700 хиляди инсталации

В приставка за WordPress File Managerс повече от 700 хиляди активни инсталации, идентифицирани уязвимост, която позволява произволни команди и PHP скриптове да се изпълняват на сървъра. Проблемът се появява във File Manager версии от 6.0 до 6.8 и е разрешен във версия 6.9.

Плъгинът за файлов мениджър предоставя инструменти за управление на файлове за администратора на WordPress, като използва включената библиотека за манипулиране на файлове на ниско ниво elFinder. Изходният код на библиотеката elFinder съдържа файлове с примерни кодове, които се доставят в работната директория с разширение “.dist”. Уязвимостта е причинена от факта, че когато библиотеката е изпратена, файлът "connector.minimal.php.dist" е преименуван на "connector.minimal.php" и е станал достъпен за изпълнение при изпращане на външни заявки. Посоченият скрипт ви позволява да извършвате всякакви операции с файлове (качване, отваряне, редактор, преименуване, rm и т.н.), тъй като неговите параметри се предават на функцията run() на основния плъгин, който може да се използва за замяна на PHP файлове в WordPress и стартирайте произволен код.

Това, което влошава опасността, е, че уязвимостта вече е налице употребяван за извършване на автоматизирани атаки, по време на които изображение, съдържащо PHP код, се качва в директорията “plugins/wp-file-manager/lib/files/” с помощта на командата “upload”, която след това се преименува в PHP скрипт, чието име е избран произволно и съдържа текста „hard“ или „x.“, например hardfork.php, hardfind.php, x.php и т.н.). Веднъж изпълнен, PHP кодът добавя задна врата към файловете /wp-admin/admin-ajax.php и /wp-includes/user.php, давайки на атакуващите достъп до администраторския интерфейс на сайта. Операцията се извършва чрез изпращане на POST заявка към файла „wp-file-manager/lib/php/connector.minimal.php“.

Трябва да се отбележи, че след хакването, в допълнение към напускането на задната врата, се правят промени за защита на по-нататъшни извиквания към файла connector.minimal.php, който съдържа уязвимостта, за да се блокира възможността за атака на сървъра от други нападатели.
Първите опити за атака бяха открити на 1 септември в 7 часа сутринта (UTC). IN
12:33 (UTC) разработчиците на приставката File Manager пуснаха корекция. Според компанията Wordfence, която е идентифицирала уязвимостта, тяхната защитна стена е блокирала около 450 хиляди опита за използване на уязвимостта на ден. Мрежово сканиране показа, че 52% от сайтовете, използващи този плъгин, все още не са актуализирани и остават уязвими. След като инсталирате актуализацията, има смисъл да проверите регистрационния файл на http сървъра за извиквания към скрипта „connector.minimal.php“, за да определите дали системата е била компрометирана.

Освен това можете да отбележите коригиращото издание WordPress 5.5.1 което предложи 40 поправки.

Източник: opennet.ru