آسیب پذیری بحرانی در افزونه مدیریت فایل وردپرس با 700 هزار نصب

در یک افزونه وردپرس مدیریت فایلبا بیش از 700 هزار نصب فعال، شناخته شده است یک آسیب‌پذیری که اجازه می‌دهد دستورات دلخواه و اسکریپت‌های PHP روی سرور اجرا شوند. این مشکل در فایل منیجر نسخه های 6.0 تا 6.8 ظاهر می شود و در نسخه 6.9 حل می شود.

افزونه File Manager با استفاده از کتابخانه موجود برای دستکاری فایل های سطح پایین ابزارهای مدیریت فایل را برای مدیر وردپرس فراهم می کند. elFinder. کد منبع کتابخانه elFinder حاوی فایل هایی با نمونه های کد است که در دایرکتوری کاری با پسوند ".dist" عرضه می شود. این آسیب‌پذیری به این دلیل است که هنگام ارسال کتابخانه، فایل "connector.minimal.php.dist" به "connector.minimal.php" تغییر نام داد و برای اجرا در هنگام ارسال درخواست‌های خارجی در دسترس قرار گرفت. اسکریپت مشخص شده به شما امکان می دهد هر عملیاتی را با فایل ها انجام دهید (آپلود، باز کردن، ویرایشگر، تغییر نام، rm و غیره)، زیرا پارامترهای آن به تابع run() پلاگین اصلی منتقل می شود، که می تواند برای جایگزینی فایل های PHP استفاده شود. در وردپرس و اجرای کد دلخواه.

چیزی که خطر را بدتر می کند این است که آسیب پذیری در حال حاضر وجود دارد استفاده می شود برای انجام حملات خودکار، که طی آن یک تصویر حاوی کد PHP با استفاده از دستور "upload" در دایرکتوری "plugins/wp-file-manager/lib/files/" آپلود می شود، که سپس به یک اسکریپت PHP تغییر نام می دهد که نام آن به طور تصادفی انتخاب شده و حاوی متن "hard" یا "x."، به عنوان مثال، hardfork.php، hardfind.php، x.php، و غیره). پس از اجرا، کد PHP یک درب پشتی به فایل های /wp-admin/admin-ajax.php و /wp-includes/user.php اضافه می کند و به مهاجمان امکان دسترسی به رابط مدیر سایت را می دهد. عملیات با ارسال یک درخواست POST به فایل "wp-file-manager/lib/php/connector.minimal.php" انجام می شود.

قابل ذکر است که پس از هک، علاوه بر خروج از درب پشتی، تغییراتی برای محافظت از تماس های بعدی با فایل connector.minimal.php که حاوی آسیب پذیری است انجام می شود تا امکان حمله مهاجمان دیگر به سرور مسدود شود.
اولین تلاش برای حمله در 1 سپتامبر در ساعت 7 صبح (UTC) شناسایی شد. که در
12:33 (UTC) توسعه دهندگان افزونه File Manager یک پچ منتشر کرده اند. طبق گفته شرکت Wordfence که این آسیب پذیری را شناسایی کرده است، فایروال آنها حدود 450 هزار تلاش برای سوء استفاده از این آسیب پذیری را در روز مسدود می کند. اسکن شبکه نشان داد که 52 درصد از سایت هایی که از این افزونه استفاده می کنند هنوز به روز نشده اند و آسیب پذیر هستند. پس از نصب به روز رسانی، منطقی است که گزارش سرور http را برای تماس با اسکریپت "connector.minimal.php" بررسی کنید تا مشخص شود که آیا سیستم به خطر افتاده است یا خیر.

علاوه بر این، می توانید به انتشار اصلاحی توجه کنید وردپرس 5.5.1 که پیشنهاد کرد 40 رفع.

منبع: opennet.ru