В WordPress-dodatak s više od 700 tisuća aktivnih instalacija, ranjivost koja dopušta izvršavanje proizvoljnih naredbi i PHP skripti na poslužitelju. Problem se pojavljuje u izdanjima Upravitelja datoteka od 6.0 do 6.8 i riješen je u izdanju 6.9.
Dodatak Upravitelj datoteka pruža administratoru alate za upravljanje datotekama. WordPress, koristeći uključenu biblioteku za manipulaciju datotekama niske razine Izvorni kod biblioteke elFinder sadrži datoteke primjera koda koje se nalaze u radnom direktoriju s ekstenzijom ".dist". Ranjivost je uzrokovana činjenicom da je tijekom distribucije biblioteke datoteka "connector.minimal.php.dist" preimenovana u "connector.minimal.php" i postala dostupna za izvršavanje prilikom slanja vanjskih zahtjeva. Ova skripta omogućuje izvođenje bilo kojih operacija s datotekama (prijenos, otvaranje, uređivanje, preimenovanje, rm itd.) budući da se njezini parametri prosljeđuju funkciji run() glavnog dodatka, koja se može koristiti za zamjenu PHP datoteka u WordPress i izvršavanje proizvoljnog koda.
Ono što opasnost čini gorom je to što ranjivost već postoji za izvođenje automatiziranih napada, tijekom kojih se slika koja sadrži PHP kod učitava u direktorij “plugins/wp-file-manager/lib/files/” pomoću naredbe “upload”, koja se zatim preimenuje u PHP skriptu čije je ime odabran nasumično i sadrži tekst "hard" ili "x.", na primjer, hardfork.php, hardfind.php, x.php itd.). Nakon što se izvrši, PHP kod dodaje stražnja vrata datotekama /wp-admin/admin-ajax.php i /wp-includes/user.php, dajući napadačima pristup administratorskom sučelju stranice. Operacija se provodi slanjem POST zahtjeva u datoteku “wp-file-manager/lib/php/connector.minimal.php”.
Važno je napomenuti da se nakon hakiranja, osim napuštanja backdoor-a, unose promjene kako bi se zaštitili daljnji pozivi na datoteku connector.minimal.php koja sadrži ranjivost, kako bi se spriječila mogućnost napada drugih napadača na poslužitelj.
Prvi pokušaji napada otkriveni su 1. rujna u 7 ujutro (UTC). U
12:33 (UTC) programeri dodatka File Manager objavili su zakrpu. Prema tvrtki Wordfence koja je identificirala ranjivost, njihov vatrozid blokirao je oko 450 tisuća pokušaja iskorištavanja ranjivosti dnevno. Skeniranje mreže pokazalo je da 52% web-mjesta koja koriste ovaj dodatak još nisu ažurirana i ostaju ranjiva. Nakon instaliranja ažuriranja, ima smisla provjeriti zapisnik http poslužitelja za pozive na skriptu “connector.minimal.php” kako biste utvrdili je li sustav ugrožen.
Dodatno, možete zabilježiti ispravno izdanje koji je predložio .
Izvor: opennet.ru
