Di plugin WordPress dengan lebih dari 700 ribu instalasi aktif, kerentanan yang memungkinkan perintah sewenang-wenang dan skrip PHP dijalankan di server. Masalah ini muncul di Manajer File rilis 6.0 hingga 6.8 dan diselesaikan di rilis 6.9.
Plugin File Manager menyediakan alat manajemen file untuk administrator WordPress, menggunakan perpustakaan yang disertakan untuk manipulasi file tingkat rendah . Kode sumber perpustakaan elFinder berisi file dengan contoh kode, yang disediakan di direktori kerja dengan ekstensi β.distβ. Kerentanan ini disebabkan oleh fakta bahwa ketika perpustakaan dikirimkan, file "connector.minimal.php.dist" diubah namanya menjadi "connector.minimal.php" dan tersedia untuk dieksekusi saat mengirim permintaan eksternal. Skrip yang ditentukan memungkinkan Anda melakukan operasi apa pun dengan file (mengunggah, membuka, mengedit, mengganti nama, rm, dll.), karena parameternya diteruskan ke fungsi run() dari plugin utama, yang dapat digunakan untuk mengganti file PHP di WordPress dan jalankan kode arbitrer.
Yang membuat bahayanya semakin buruk adalah kerentanan yang sudah ada untuk melakukan serangan otomatis, di mana gambar yang berisi kode PHP diunggah ke direktori βplugins/wp-file-manager/lib/files/β menggunakan perintah βuploadβ, yang kemudian diubah namanya menjadi skrip PHP yang namanya dipilih secara acak dan berisi teks βhardβ atau βx.β, misalnya hardfork.php, hardfind.php, x.php, dll.). Setelah dijalankan, kode PHP menambahkan pintu belakang ke file /wp-admin/admin-ajax.php dan /wp-includes/user.php, memberikan penyerang akses ke antarmuka administrator situs. Pengoperasiannya dilakukan dengan mengirimkan request POST ke file βwp-file-manager/lib/php/connector.minimal.phpβ.
Patut dicatat bahwa setelah peretasan, selain meninggalkan pintu belakang, perubahan juga dilakukan untuk melindungi panggilan lebih lanjut ke file konektor.minimal.php, yang berisi kerentanan, untuk memblokir kemungkinan penyerang lain menyerang server.
Upaya serangan pertama terdeteksi pada 1 September pukul 7 pagi (UTC). DI DALAM
12:33 (UTC) pengembang plugin File Manager telah merilis patch. Menurut perusahaan Wordfence yang mengidentifikasi kerentanan tersebut, firewall mereka memblokir sekitar 450 ribu upaya untuk mengeksploitasi kerentanan tersebut per hari. Pemindaian jaringan menunjukkan bahwa 52% situs yang menggunakan plugin ini belum diperbarui dan tetap rentan. Setelah menginstal pembaruan, masuk akal untuk memeriksa log server http untuk panggilan ke skrip βconnector.minimal.phpβ untuk menentukan apakah sistem telah disusupi.
Selain itu, Anda dapat mencatat rilis korektif yang diusulkan .
Sumber: opennet.ru