Dans un plugin WordPress avec plus de 700 mille installations actives, une vulnérabilité qui permet d'exécuter des commandes arbitraires et des scripts PHP sur le serveur. Le problème apparaît dans les versions 6.0 à 6.8 de File Manager et est résolu dans la version 6.9.
Le plugin File Manager fournit des outils de gestion de fichiers pour l'administrateur WordPress, en utilisant la bibliothèque incluse pour la manipulation de fichiers de bas niveau. . Le code source de la bibliothèque elFinder contient des fichiers avec des exemples de code, qui sont fournis dans le répertoire de travail avec l'extension « .dist ». La vulnérabilité est due au fait que lors de la livraison de la bibliothèque, le fichier "connector.minimal.php.dist" a été renommé "connector.minimal.php" et est devenu disponible pour exécution lors de l'envoi de requêtes externes. Le script spécifié permet d'effectuer toutes les opérations avec les fichiers (télécharger, ouvrir, éditeur, renommer, rm, etc.), puisque ses paramètres sont passés à la fonction run() du plugin principal, qui peut être utilisée pour remplacer les fichiers PHP. dans WordPress et exécutez du code arbitraire.
Ce qui aggrave le danger, c'est que la vulnérabilité est déjà de réaliser des attaques automatisées, au cours desquelles une image contenant du code PHP est téléchargée dans le répertoire « plugins/wp-file-manager/lib/files/ » à l'aide de la commande « upload », qui est ensuite renommée en un script PHP dont le nom est choisi au hasard et contient le texte « hard » ou « x. », par exemple hardfork.php, hardfind.php, x.php, etc.). Une fois exécuté, le code PHP ajoute une porte dérobée aux fichiers /wp-admin/admin-ajax.php et /wp-includes/user.php, permettant aux attaquants d'accéder à l'interface de l'administrateur du site. L'opération s'effectue en envoyant une requête POST au fichier « wp-file-manager/lib/php/connector.minimal.php ».
Il est à noter qu'après le piratage, en plus de quitter la porte dérobée, des modifications sont apportées pour protéger les appels ultérieurs au fichier Connector.minimal.php, qui contient la vulnérabilité, afin de bloquer la possibilité que d'autres attaquants attaquent le serveur.
Les premières tentatives d'attaque ont été détectées le 1er septembre à 7 heures du matin (UTC). DANS
12h33 (UTC), les développeurs du plugin File Manager ont publié un correctif. Selon la société Wordfence qui a identifié la vulnérabilité, son pare-feu a bloqué environ 450 52 tentatives d'exploitation de la vulnérabilité par jour. Une analyse du réseau a montré que XNUMX % des sites utilisant ce plugin n'ont pas encore été mis à jour et restent vulnérables. Après avoir installé la mise à jour, il est logique de vérifier dans le journal du serveur http les appels au script «connector.minimal.php» pour déterminer si le système a été compromis.
De plus, vous pouvez noter la version corrective qui a proposé .
Source: opennet.ru