В WordPress-plugin dengan lebih dari 700 ribu instalasi aktif, kerentanan yang memungkinkan perintah sewenang-wenang dan skrip PHP dijalankan di server. Masalah ini muncul di Manajer File rilis 6.0 hingga 6.8 dan diselesaikan di rilis 6.9.
Plugin File Manager menyediakan alat manajemen file untuk administrator. WordPress, menggunakan pustaka yang disertakan untuk manipulasi file tingkat rendah. Kode sumber pustaka elFinder berisi file kode contoh, yang disediakan di direktori kerja dengan ekstensi ".dist". Kerentanan ini disebabkan oleh fakta bahwa selama distribusi pustaka, file "connector.minimal.php.dist" diubah namanya menjadi "connector.minimal.php" dan tersedia untuk dieksekusi saat mengirim permintaan eksternal. Skrip ini memungkinkan operasi file apa pun (unggah, buka, editor, ganti nama, hapus, dll.) untuk dilakukan, karena parameternya diteruskan ke fungsi run() dari plugin utama, yang dapat digunakan untuk mengganti file PHP di WordPress dan menjalankan kode sembarangan.
Yang membuat bahayanya semakin buruk adalah kerentanan yang sudah ada untuk melakukan serangan otomatis, di mana gambar yang berisi kode PHP diunggah ke direktori “plugins/wp-file-manager/lib/files/” menggunakan perintah “upload”, yang kemudian diubah namanya menjadi skrip PHP yang namanya dipilih secara acak dan berisi teks “hard” atau “x.”, misalnya hardfork.php, hardfind.php, x.php, dll.). Setelah dijalankan, kode PHP menambahkan pintu belakang ke file /wp-admin/admin-ajax.php dan /wp-includes/user.php, memberikan penyerang akses ke antarmuka administrator situs. Pengoperasiannya dilakukan dengan mengirimkan request POST ke file “wp-file-manager/lib/php/connector.minimal.php”.
Patut dicatat bahwa setelah peretasan, selain meninggalkan pintu belakang, perubahan juga dilakukan untuk melindungi panggilan lebih lanjut ke file konektor.minimal.php, yang berisi kerentanan, untuk memblokir kemungkinan penyerang lain menyerang server.
Upaya serangan pertama terdeteksi pada 1 September pukul 7 pagi (UTC). DI DALAM
12:33 (UTC) pengembang plugin File Manager telah merilis patch. Menurut perusahaan Wordfence yang mengidentifikasi kerentanan tersebut, firewall mereka memblokir sekitar 450 ribu upaya untuk mengeksploitasi kerentanan tersebut per hari. Pemindaian jaringan menunjukkan bahwa 52% situs yang menggunakan plugin ini belum diperbarui dan tetap rentan. Setelah menginstal pembaruan, masuk akal untuk memeriksa log server http untuk panggilan ke skrip “connector.minimal.php” untuk menentukan apakah sistem telah disusupi.
Selain itu, Anda dapat mencatat rilis korektif yang diusulkan .
Sumber: opennet.ru
