U dodatku za WordPress s više od 700 tisuća aktivnih instalacija, ranjivost koja dopušta izvršavanje proizvoljnih naredbi i PHP skripti na poslužitelju. Problem se pojavljuje u izdanjima Upravitelja datoteka od 6.0 do 6.8 i riješen je u izdanju 6.9.
Dodatak File Manager pruža alate za upravljanje datotekama za WordPress administratora, koristeći uključenu biblioteku za rad s datotekama niske razine . Izvorni kod biblioteke elFinder sadrži datoteke s primjerima koda, koje se isporučuju u radnom direktoriju s ekstenzijom “.dist”. Ranjivost je uzrokovana činjenicom da je prilikom slanja knjižnice datoteka "connector.minimal.php.dist" preimenovana u "connector.minimal.php" i postala je dostupna za izvršavanje prilikom slanja vanjskih zahtjeva. Navedena skripta omogućuje izvođenje bilo kakvih operacija s datotekama (upload, open, editor, rename, rm, itd.), budući da se njezini parametri prosljeđuju funkciji run() glavnog dodatka, koja se može koristiti za zamjenu PHP datoteka u WordPressu i pokrenite proizvoljni kod.
Ono što opasnost čini gorom je to što ranjivost već postoji za izvođenje automatiziranih napada, tijekom kojih se slika koja sadrži PHP kod učitava u direktorij “plugins/wp-file-manager/lib/files/” pomoću naredbe “upload”, koja se zatim preimenuje u PHP skriptu čije je ime odabran nasumično i sadrži tekst "hard" ili "x.", na primjer, hardfork.php, hardfind.php, x.php itd.). Nakon što se izvrši, PHP kod dodaje stražnja vrata datotekama /wp-admin/admin-ajax.php i /wp-includes/user.php, dajući napadačima pristup administratorskom sučelju stranice. Operacija se provodi slanjem POST zahtjeva u datoteku “wp-file-manager/lib/php/connector.minimal.php”.
Važno je napomenuti da se nakon hakiranja, osim napuštanja backdoor-a, unose promjene kako bi se zaštitili daljnji pozivi na datoteku connector.minimal.php koja sadrži ranjivost, kako bi se spriječila mogućnost napada drugih napadača na poslužitelj.
Prvi pokušaji napada otkriveni su 1. rujna u 7 ujutro (UTC). U
12:33 (UTC) programeri dodatka File Manager objavili su zakrpu. Prema tvrtki Wordfence koja je identificirala ranjivost, njihov vatrozid blokirao je oko 450 tisuća pokušaja iskorištavanja ranjivosti dnevno. Skeniranje mreže pokazalo je da 52% web-mjesta koja koriste ovaj dodatak još nisu ažurirana i ostaju ranjiva. Nakon instaliranja ažuriranja, ima smisla provjeriti zapisnik http poslužitelja za pozive na skriptu “connector.minimal.php” kako biste utvrdili je li sustav ugrožen.
Dodatno, možete zabilježiti ispravno izdanje koji je predložio .
Izvor: opennet.ru