En un connector de WordPress amb més de 700 mil instal·lacions actives, una vulnerabilitat que permet executar ordres arbitràries i scripts PHP al servidor. El problema apareix a les versions del Gestor de fitxers 6.0 a 6.8 i es resol a la versió 6.9.
El connector Gestor de fitxers proporciona eines de gestió de fitxers per a l'administrador de WordPress, utilitzant la biblioteca inclosa per a la manipulació de fitxers de baix nivell . El codi font de la biblioteca elFinder conté fitxers amb exemples de codi, que es proporcionen al directori de treball amb l'extensió “.dist”. La vulnerabilitat és causada pel fet que, quan es va enviar la biblioteca, el fitxer "connector.minimal.php.dist" va passar a denominar-se "connector.minimal.php" i va quedar disponible per a l'execució quan s'enviaven peticions externes. L'script especificat us permet realitzar qualsevol operació amb fitxers (carregar, obrir, editar, canviar el nom, rm, etc.), ja que els seus paràmetres es passen a la funció run() del connector principal, que es pot utilitzar per substituir fitxers PHP a WordPress i executeu codi arbitrari.
El que empitjora el perill és que la vulnerabilitat ja és per dur a terme atacs automatitzats, durant els quals es carrega una imatge que conté codi PHP al directori "plugins/wp-file-manager/lib/files/" mitjançant l'ordre "upload", que després es canvia de nom en un script PHP el nom és triat a l'atzar i conté el text "hard" o "x.", per exemple, hardfork.php, hardfind.php, x.php, etc.). Un cop executat, el codi PHP afegeix una porta posterior als fitxers /wp-admin/admin-ajax.php i /wp-includes/user.php, donant als atacants accés a la interfície de l'administrador del lloc. L'operació es realitza enviant una sol·licitud POST al fitxer “wp-file-manager/lib/php/connector.minimal.php”.
Cal destacar que després del pirateig, a més de sortir de la porta del darrere, es fan canvis per protegir les noves trucades al fitxer connector.minimal.php, que conté la vulnerabilitat, per tal de bloquejar la possibilitat que altres atacants ataquen el servidor.
Els primers intents d'atac es van detectar l'1 de setembre a les 7 del matí (UTC). EN
12:33 (UTC) els desenvolupadors del connector Gestor de fitxers han publicat un pedaç. Segons l'empresa Wordfence que va identificar la vulnerabilitat, el seu tallafoc va bloquejar uns 450 mil intents d'explotar la vulnerabilitat al dia. Una exploració de la xarxa va mostrar que el 52% dels llocs que utilitzen aquest connector encara no s'han actualitzat i segueixen sent vulnerables. Després d'instal·lar l'actualització, té sentit comprovar el registre del servidor http per a les trucades a l'script "connector.minimal.php" per determinar si el sistema s'ha vist compromès.
A més, podeu observar l'alliberament correctiu que proposava .
Font: opennet.ru