Nun complemento de WordPress con máis de 700 mil instalacións activas, unha vulnerabilidade que permite que se executen comandos arbitrarios e scripts PHP no servidor. O problema aparece nas versións do Xestor de ficheiros 6.0 a 6.8 e resólvese na versión 6.9.
O complemento Xestor de ficheiros ofrece ferramentas de xestión de ficheiros para o administrador de WordPress, utilizando a biblioteca incluída para a manipulación de ficheiros de baixo nivel . O código fonte da biblioteca elFinder contén ficheiros con exemplos de código, que se proporcionan no directorio de traballo coa extensión “.dist”. A vulnerabilidade prodúcese polo feito de que cando se enviou a biblioteca, o ficheiro "connector.minimal.php.dist" cambiou o nome a "connector.minimal.php" e quedou dispoñible para a súa execución ao enviar solicitudes externas. O script especificado permítelle realizar calquera operación con ficheiros (cargar, abrir, editar, renomear, rm, etc.), xa que os seus parámetros pásanse á función run() do complemento principal, que se pode usar para substituír ficheiros PHP en WordPress e executa código arbitrario.
O que empeora o perigo é que a vulnerabilidade xa está para levar a cabo ataques automatizados, durante os cales se carga unha imaxe que contén código PHP ao directorio "plugins/wp-file-manager/lib/files/" mediante o comando "upload", que despois se renome a un script PHP cuxo nome é escollido ao azar e contén o texto "hard" ou "x.", por exemplo, hardfork.php, hardfind.php, x.php, etc.). Unha vez executado, o código PHP engade unha porta traseira aos ficheiros /wp-admin/admin-ajax.php e /wp-includes/user.php, o que dá aos atacantes acceso á interface do administrador do sitio. A operación realízase enviando unha solicitude POST ao ficheiro "wp-file-manager/lib/php/connector.minimal.php".
Cabe destacar que despois do hackeo, ademais de saír da porta traseira, realízanse cambios para protexer as chamadas posteriores ao ficheiro connector.minimal.php, que contén a vulnerabilidade, co fin de bloquear a posibilidade de que outros atacantes ataquen o servidor.
Os primeiros intentos de ataque detectáronse o 1 de setembro ás 7 da mañá (UTC). EN
12:33 (UTC) os desenvolvedores do complemento Xestor de ficheiros lanzaron un parche. Segundo a empresa Wordfence que identificou a vulnerabilidade, o seu firewall bloqueou uns 450 mil intentos de explotar a vulnerabilidade ao día. Unha análise da rede mostrou que o 52 % dos sitios que usan este complemento aínda non se actualizaron e seguen sendo vulnerables. Despois de instalar a actualización, ten sentido comprobar o rexistro do servidor http para as chamadas ao script "connector.minimal.php" para determinar se o sistema se viu comprometido.
Ademais, podes observar a versión correctiva que propuxo .
Fonte: opennet.ru