WordPressi pistikprogrammis rohkem kui 700 tuhande aktiivse installatsiooniga, haavatavus, mis võimaldab serveris käivitada suvalisi käske ja PHP-skripte. Probleem ilmneb failihalduri versioonides 6.0 kuni 6.8 ja see lahendatakse versioonis 6.9.
Failihalduri pistikprogramm pakub WordPressi administraatorile failihaldustööriistu, kasutades kaasasolevat teeki madala taseme failidega manipuleerimiseks . ElFinder teegi lähtekood sisaldab koodinäidetega faile, mis on töökataloogis laiendiga “.dist”. Haavatavuse põhjuseks on asjaolu, et teegi tarnimisel nimetati fail "connector.minimal.php.dist" ümber nimeks "connector.minimal.php" ja muutus väliste päringute saatmisel täitmiseks kättesaadavaks. Määratud skript võimaldab teil failidega teha mis tahes toiminguid (üleslaadimine, avamine, redigeerimine, ümbernimetamine, rm jne), kuna selle parameetrid edastatakse põhiplugina funktsioonile run(), mida saab kasutada PHP-failide asendamiseks WordPressis ja käivitage suvaline kood.
Ohtu teeb hullemaks see, et haavatavus on juba olemas automatiseeritud rünnete läbiviimiseks, mille käigus laaditakse käsuga “upload” kataloogi “plugins/wp-file-manager/lib/files/” PHP koodi sisaldav pilt, mis seejärel nimetatakse ümber PHP-skriptiks, mille nimi on valitud juhuslikult ja sisaldab teksti "hard" või "x.", näiteks hardfork.php, hardfind.php, x.php jne). Pärast käivitamist lisab PHP-kood failidele /wp-admin/admin-ajax.php ja /wp-includes/user.php tagaukse, andes ründajatele juurdepääsu saidi administraatori liidesele. Toiming viiakse läbi, saates POST-päringu faili “wp-file-manager/lib/php/connector.minimal.php”.
Tähelepanuväärne on see, et peale häkkimist tehakse lisaks tagauksest väljumisele muudatusi ka edasiste kõnede kaitsmiseks haavatavust sisaldavale faili connector.minimal.php, et blokeerida võimalus, et teised ründajad serverit rünnataksid.
Esimesed rünnakukatsed tuvastati 1. septembril kell 7 (UTC). IN
12:33 (UTC) failihalduri pistikprogrammi arendajad on välja andnud paiga. Haavatavuse tuvastanud ettevõtte Wordfence andmetel blokeeris nende tulemüür umbes 450 tuhat turvaauku ärakasutamise katset päevas. Võrgukontroll näitas, et 52% seda pistikprogrammi kasutavatest saitidest pole veel värskendatud ja on endiselt haavatavad. Pärast värskenduse installimist on mõttekas kontrollida http-serveri logist skripti "connector.minimal.php" kõnesid, et teha kindlaks, kas süsteemi on rikutud.
Lisaks võite märkida korrigeeriva väljalaske mis tegi ettepaneku .
Allikas: opennet.ru