آسیب‌پذیری بحرانی در WordPress- افزونه مدیریت فایل، که ۷۰۰ هزار نصب دارد

В WordPress-افزونه مدیریت فایلبا بیش از 700 هزار نصب فعال، شناخته شده است یک آسیب‌پذیری که اجازه می‌دهد دستورات دلخواه و اسکریپت‌های PHP روی سرور اجرا شوند. این مشکل در فایل منیجر نسخه های 6.0 تا 6.8 ظاهر می شود و در نسخه 6.9 حل می شود.

افزونه File Manager ابزارهای مدیریت فایل را برای مدیر فراهم می‌کند. WordPress، با استفاده از کتابخانه موجود برای دستکاری سطح پایین فایل elFinderکد منبع کتابخانه elFinder حاوی فایل‌های کد نمونه است که در دایرکتوری کاری با پسوند ".dist" ارائه می‌شوند. این آسیب‌پذیری به این دلیل ایجاد شده است که در طول توزیع کتابخانه، فایل "connector.minimal.php.dist" به "connector.minimal.php" تغییر نام داده و هنگام ارسال درخواست‌های خارجی برای اجرا در دسترس قرار گرفته است. این اسکریپت امکان انجام هرگونه عملیات فایل (آپلود، باز کردن، ویرایش، تغییر نام، rm و غیره) را فراهم می‌کند، زیرا پارامترهای آن به تابع run() افزونه اصلی منتقل می‌شوند که می‌تواند برای جایگزینی فایل‌های PHP در ... استفاده شود. WordPress و اجرای کد دلخواه.

چیزی که خطر را بدتر می کند این است که آسیب پذیری در حال حاضر وجود دارد استفاده می شود برای انجام حملات خودکار، که طی آن یک تصویر حاوی کد PHP با استفاده از دستور "upload" در دایرکتوری "plugins/wp-file-manager/lib/files/" آپلود می شود، که سپس به یک اسکریپت PHP تغییر نام می دهد که نام آن به طور تصادفی انتخاب شده و حاوی متن "hard" یا "x."، به عنوان مثال، hardfork.php، hardfind.php، x.php، و غیره). پس از اجرا، کد PHP یک درب پشتی به فایل های /wp-admin/admin-ajax.php و /wp-includes/user.php اضافه می کند و به مهاجمان امکان دسترسی به رابط مدیر سایت را می دهد. عملیات با ارسال یک درخواست POST به فایل "wp-file-manager/lib/php/connector.minimal.php" انجام می شود.

قابل ذکر است که پس از هک، علاوه بر خروج از درب پشتی، تغییراتی برای محافظت از تماس های بعدی با فایل connector.minimal.php که حاوی آسیب پذیری است انجام می شود تا امکان حمله مهاجمان دیگر به سرور مسدود شود.
اولین تلاش برای حمله در 1 سپتامبر در ساعت 7 صبح (UTC) شناسایی شد. که در
12:33 (UTC) توسعه دهندگان افزونه File Manager یک پچ منتشر کرده اند. طبق گفته شرکت Wordfence که این آسیب پذیری را شناسایی کرده است، فایروال آنها حدود 450 هزار تلاش برای سوء استفاده از این آسیب پذیری را در روز مسدود می کند. اسکن شبکه نشان داد که 52 درصد از سایت هایی که از این افزونه استفاده می کنند هنوز به روز نشده اند و آسیب پذیر هستند. پس از نصب به روز رسانی، منطقی است که گزارش سرور http را برای تماس با اسکریپت "connector.minimal.php" بررسی کنید تا مشخص شود که آیا سیستم به خطر افتاده است یا خیر.

علاوه بر این، می توانید به انتشار اصلاحی توجه کنید WordPress 5.5.1 که پیشنهاد کرد 40 رفع.

منبع: opennet.ru