Σε ένα πρόσθετο WordPress με περισσότερες από 700 χιλιάδες ενεργές εγκαταστάσεις, μια ευπάθεια που επιτρέπει την εκτέλεση αυθαίρετων εντολών και σεναρίων PHP στον διακομιστή. Το ζήτημα εμφανίζεται στις εκδόσεις Διαχείριση αρχείων 6.0 έως 6.8 και επιλύεται στην έκδοση 6.9.
Το πρόσθετο File Manager παρέχει εργαλεία διαχείρισης αρχείων για τον διαχειριστή του WordPress, χρησιμοποιώντας τη βιβλιοθήκη που περιλαμβάνεται για χειρισμό αρχείων χαμηλού επιπέδου . Ο πηγαίος κώδικας της βιβλιοθήκης elFinder περιέχει αρχεία με παραδείγματα κώδικα, τα οποία παρέχονται στον κατάλογο εργασίας με την επέκταση «.dist». Η ευπάθεια προκαλείται από το γεγονός ότι κατά την αποστολή της βιβλιοθήκης, το αρχείο "connector.minimal.php.dist" μετονομάστηκε σε "connector.minimal.php" και έγινε διαθέσιμο για εκτέλεση κατά την αποστολή εξωτερικών αιτημάτων. Το καθορισμένο σενάριο σάς επιτρέπει να εκτελείτε οποιεσδήποτε λειτουργίες με αρχεία (upload, open, editor, rename, rm, κ.λπ.), καθώς οι παράμετροί του μεταβιβάζονται στη συνάρτηση run() του κύριου plugin, το οποίο μπορεί να χρησιμοποιηθεί για την αντικατάσταση αρχείων PHP στο WordPress και εκτελέστε αυθαίρετο κώδικα.
Αυτό που κάνει τον κίνδυνο χειρότερο είναι ότι η ευπάθεια είναι ήδη για την πραγματοποίηση αυτοματοποιημένων επιθέσεων, κατά τις οποίες μια εικόνα που περιέχει κώδικα PHP μεταφορτώνεται στον κατάλογο "plugins/wp-file-manager/lib/files/" χρησιμοποιώντας την εντολή "upload", η οποία στη συνέχεια μετονομάζεται σε σενάριο PHP του οποίου το όνομα είναι επιλέγεται τυχαία και περιέχει το κείμενο "hard" ή "x.", για παράδειγμα, hardfork.php, hardfind.php, x.php, κ.λπ.). Μόλις εκτελεστεί, ο κώδικας PHP προσθέτει μια κερκόπορτα στα αρχεία /wp-admin/admin-ajax.php και /wp-includes/user.php, δίνοντας στους εισβολείς πρόσβαση στη διεπαφή διαχειριστή τοποθεσίας. Η λειτουργία πραγματοποιείται με την αποστολή αιτήματος POST στο αρχείο "wp-file-manager/lib/php/connector.minimal.php".
Αξιοσημείωτο είναι ότι μετά το χακάρισμα, εκτός από την έξοδο από το backdoor, γίνονται αλλαγές για την προστασία περαιτέρω κλήσεων στο αρχείο connector.minimal.php, το οποίο περιέχει την ευπάθεια, ώστε να αποκλειστεί η πιθανότητα επίθεσης από άλλους εισβολείς στον διακομιστή.
Οι πρώτες απόπειρες επίθεσης εντοπίστηκαν την 1η Σεπτεμβρίου στις 7 π.μ. (UTC). ΣΕ
12:33 (UTC) οι προγραμματιστές της προσθήκης File Manager κυκλοφόρησαν μια ενημέρωση κώδικα. Σύμφωνα με την εταιρεία Wordfence που εντόπισε την ευπάθεια, το τείχος προστασίας της εμπόδισε περίπου 450 χιλιάδες προσπάθειες εκμετάλλευσης της ευπάθειας την ημέρα. Μια σάρωση δικτύου έδειξε ότι το 52% των ιστότοπων που χρησιμοποιούν αυτήν την προσθήκη δεν έχουν ακόμη ενημερωθεί και παραμένουν ευάλωτοι. Μετά την εγκατάσταση της ενημέρωσης, είναι λογικό να ελέγξετε το αρχείο καταγραφής διακομιστή http για κλήσεις στο σενάριο "connector.minimal.php" για να προσδιορίσετε εάν το σύστημα έχει παραβιαστεί.
Επιπλέον, μπορείτε να σημειώσετε τη διορθωτική έκδοση που πρότεινε .
Πηγή: opennet.ru