U WordPress dodatku sa više od 700 hiljada aktivnih instalacija, ranjivost koja omogućava izvršavanje proizvoljnih komandi i PHP skripti na serveru. Problem se pojavljuje u izdanjima upravitelja datoteka od 6.0 do 6.8 i riješen je u izdanju 6.9.
Dodatak File Manager pruža alate za upravljanje datotekama za WordPress administratora, koristeći uključenu biblioteku za manipulaciju datotekama na niskom nivou . Izvorni kod biblioteke elFinder sadrži datoteke sa primjerima koda, koji se nalaze u radnom direktoriju sa ekstenzijom “.dist”. Ranjivost je uzrokovana činjenicom da je prilikom slanja biblioteke datoteka "connector.minimal.php.dist" preimenovana u "connector.minimal.php" i postala dostupna za izvršavanje prilikom slanja eksternih zahtjeva. Navedena skripta vam omogućava da izvršite bilo kakve operacije s datotekama (upload, otvaranje, editor, preimenovanje, rm, itd.), budući da se njegovi parametri prosljeđuju funkciji run() glavnog dodatka, koji se može koristiti za zamjenu PHP datoteka u WordPress-u i pokrenite proizvoljni kod.
Ono što opasnost čini gorom je to što ranjivost već postoji za izvođenje automatiziranih napada, tokom kojih se slika koja sadrži PHP kod učitava u direktorij “plugins/wp-file-manager/lib/files/” pomoću naredbe “upload”, koja se zatim preimenuje u PHP skriptu čiji je naziv odabran nasumično i sadrži tekst “hard” ili “x.”, na primjer, hardfork.php, hardfind.php, x.php, itd.). Kada se jednom izvrši, PHP kod dodaje backdoor datotekama /wp-admin/admin-ajax.php i /wp-includes/user.php, dajući napadačima pristup interfejsu administratora sajta. Operacija se izvodi slanjem POST zahtjeva na datoteku “wp-file-manager/lib/php/connector.minimal.php”.
Važno je napomenuti da se nakon hakovanja, osim napuštanja backdoor-a, vrše i izmjene kako bi se zaštitili dalji pozivi na datoteku connector.minimal.php, koja sadrži ranjivost, kako bi se blokirala mogućnost da drugi napadači napadnu server.
Prvi pokušaji napada otkriveni su 1. septembra u 7 ujutro (UTC). IN
12:33 (UTC) programeri dodatka za upravljanje datotekama objavili su zakrpu. Prema kompaniji Wordfence koja je identifikovala ranjivost, njihov zaštitni zid je blokirao oko 450 hiljada pokušaja da se ranjivost iskoristi dnevno. Skeniranje mreže pokazalo je da 52% stranica koje koriste ovaj dodatak još uvijek nisu ažurirane i da su ranjive. Nakon instaliranja ažuriranja, ima smisla provjeriti dnevnik http servera za pozive skripti “connector.minimal.php” kako biste utvrdili da li je sistem kompromitovan.
Osim toga, možete primijetiti korektivno izdanje koji je predložio .
izvor: opennet.ru