I et WordPress-plugin med mere end 700 tusind aktive installationer, en sårbarhed, der gør det muligt at udføre vilkårlige kommandoer og PHP-scripts på serveren. Problemet dukker op i File Manager-versioner 6.0 til 6.8 og er løst i version 6.9.
Filhåndterings-plugin'et leverer filhåndteringsværktøjer til WordPress-administratoren ved at bruge det medfølgende bibliotek til filmanipulation på lavt niveau . Kildekoden til elFinder-biblioteket indeholder filer med kodeeksempler, som leveres i arbejdsbiblioteket med filtypenavnet ".dist". Sårbarheden er forårsaget af, at da biblioteket blev afsendt, blev filen "connector.minimal.php.dist" omdøbt til "connector.minimal.php" og blev tilgængelig til eksekvering ved afsendelse af eksterne anmodninger. Det angivne script giver dig mulighed for at udføre enhver handling med filer (upload, åben, editor, omdøb, rm osv.), da dets parametre sendes til run()-funktionen i hovedplugin'et, som kan bruges til at erstatte PHP-filer i WordPress og kør vilkårlig kode.
Det, der gør faren værre, er, at sårbarheden allerede er at udføre automatiserede angreb, hvorunder et billede, der indeholder PHP-kode, uploades til "plugins/wp-file-manager/lib/files/"-mappen ved hjælp af "upload"-kommandoen, som derefter omdøbes til et PHP-script, hvis navn er valgt tilfældigt og indeholder teksten “hard” eller “x.”, for eksempel hardfork.php, hardfind.php, x.php, osv.). Når den er udført, tilføjer PHP-koden en bagdør til filerne /wp-admin/admin-ajax.php og /wp-includes/user.php, hvilket giver angribere adgang til webstedets administratorgrænseflade. Betjeningen udføres ved at sende en POST-anmodning til filen "wp-file-manager/lib/php/connector.minimal.php".
Det er bemærkelsesværdigt, at der efter hacket, ud over at forlade bagdøren, foretages ændringer for at beskytte yderligere opkald til filen connector.minimal.php, som indeholder sårbarheden, for at blokere muligheden for, at andre angribere angriber serveren.
De første angrebsforsøg blev opdaget den 1. september kl. 7 om morgenen (UTC). I
12:33 (UTC) udviklerne af filhåndteringsplugin'et har udgivet en patch. Ifølge Wordfence-firmaet, der identificerede sårbarheden, blokerede deres firewall omkring 450 tusinde forsøg på at udnytte sårbarheden om dagen. En netværksscanning viste, at 52 % af websteder, der bruger dette plugin, endnu ikke er opdateret og forbliver sårbare. Efter installation af opdateringen giver det mening at tjekke http-serverloggen for opkald til "connector.minimal.php"-scriptet for at afgøre, om systemet er blevet kompromitteret.
Derudover kan du bemærke den korrigerende udgivelse som foreslog .
Kilde: opennet.ru