En un complemento de WordPress con más de 700 mil instalaciones activas, una vulnerabilidad que permite ejecutar comandos arbitrarios y scripts PHP en el servidor. El problema aparece en las versiones 6.0 a 6.8 de File Manager y se resuelve en la versión 6.9.
El complemento Administrador de archivos proporciona herramientas de administración de archivos para el administrador de WordPress, utilizando la biblioteca incluida para la manipulación de archivos de bajo nivel. . El código fuente de la biblioteca elFinder contiene archivos con ejemplos de código, que se suministran en el directorio de trabajo con la extensión ".dist". La vulnerabilidad se debe al hecho de que cuando se envió la biblioteca, el archivo "connector.minimal.php.dist" pasó a llamarse "connector.minimal.php" y quedó disponible para su ejecución al enviar solicitudes externas. El script especificado le permite realizar cualquier operación con archivos (cargar, abrir, editar, cambiar nombre, rm, etc.), ya que sus parámetros se pasan a la función run() del complemento principal, que puede usarse para reemplazar archivos PHP. en WordPress y ejecutar código arbitrario.
Lo que empeora el peligro es que la vulnerabilidad ya está para llevar a cabo ataques automatizados, durante los cuales se carga una imagen que contiene código PHP en el directorio “plugins/wp-file-manager/lib/files/” usando el comando “upload”, que luego se renombra a un script PHP cuyo nombre es elegido al azar y contiene el texto “hard” o “x.”, por ejemplo, hardfork.php, hardfind.php, x.php, etc.). Una vez ejecutado, el código PHP agrega una puerta trasera a los archivos /wp-admin/admin-ajax.php y /wp-includes/user.php, dando a los atacantes acceso a la interfaz del administrador del sitio. La operación se realiza enviando una solicitud POST al archivo “wp-file-manager/lib/php/connector.minimal.php”.
Cabe destacar que después del hack, además de abandonar la puerta trasera, se realizan cambios para proteger futuras llamadas al archivo conector.minimal.php, que contiene la vulnerabilidad, con el fin de bloquear la posibilidad de que otros atacantes ataquen el servidor.
Los primeros intentos de ataque se detectaron el 1 de septiembre a las 7 am (UTC). EN
12:33 (UTC) los desarrolladores del complemento Administrador de archivos lanzaron un parche. Según la empresa Wordfence que identificó la vulnerabilidad, su firewall bloqueó alrededor de 450 mil intentos de explotar la vulnerabilidad por día. Un análisis de la red mostró que el 52% de los sitios que utilizan este complemento aún no se han actualizado y siguen siendo vulnerables. Después de instalar la actualización, tiene sentido verificar el registro del servidor http en busca de llamadas al script "connector.minimal.php" para determinar si el sistema se ha visto comprometido.
Además, puede observar la liberación correctiva. que propuso .
Fuente: opennet.ru