В WordPress-viðbót með meira en 700 þúsund virkum uppsetningum, varnarleysi sem gerir kleift að framkvæma handahófskenndar skipanir og PHP forskriftir á þjóninum. Vandamálið birtist í File Manager útgáfum 6.0 til 6.8 og er leyst í útgáfu 6.9.
Viðbótin Skráarstjóri býður upp á verkfæri til skráarstjórnunar fyrir kerfisstjóra. WordPress, með því að nota meðfylgjandi bókasafn fyrir lágstigs skráarvinnslu Frumkóði elFinder bókasafnsins inniheldur dæmikóðaskrár sem eru í vinnumöppunni með viðskeytinu ".dist". Veikleikinn stafar af því að við dreifingu bókasafnsins var skránni "connector.minimal.php.dist" endurnefnt í "connector.minimal.php" og varð hún tiltæk til keyrslu þegar beiðnir frá utanaðkomandi aðilum voru sendar. Þetta forskrift gerir kleift að framkvæma allar skráaraðgerðir (hlaða upp, opna, breyta, endurnefna, rm, o.s.frv.), þar sem breytur þess eru sendar til run() fallsins í aðalviðbótinni, sem hægt er að nota til að skipta út PHP skrám í WordPress og keyra handahófskenndan kóða.
Það sem gerir hættuna verri er að varnarleysi er nú þegar til að framkvæma sjálfvirkar árásir, þar sem mynd sem inniheldur PHP kóða er hlaðið upp í "plugins/wp-file-manager/lib/files/" möppuna með því að nota "upload" skipunina, sem síðan er endurnefnt í PHP skriftu sem heitir valið af handahófi og inniheldur textann „harður“ eða „x.“, til dæmis hardfork.php, hardfind.php, x.php, osfrv.). Þegar PHP kóðinn hefur verið keyrður bætir hann bakdyrum við /wp-admin/admin-ajax.php og /wp-includes/user.php skrárnar, sem gefur árásarmönnum aðgang að viðmóti síðustjóra. Aðgerðin er framkvæmd með því að senda POST beiðni á skrána „wp-file-manager/lib/php/connector.minimal.php“.
Athygli vekur að eftir innbrotið, auk þess að yfirgefa bakdyrnar, eru breytingar gerðar til að vernda frekari símtöl í connector.minimal.php skrána, sem inniheldur varnarleysið, til að hindra möguleikann á að aðrir árásarmenn ráðist á netþjóninn.
Fyrstu árásartilraunirnar greindust 1. september klukkan 7 að morgni (UTC). IN
12:33 (UTC) þróunaraðilar File Manager viðbótarinnar hafa gefið út plástur. Samkvæmt Wordfence fyrirtækinu sem greindi varnarleysið, hindraði eldveggurinn þeirra um 450 þúsund tilraunir til að nýta sér veikleikann á dag. Netskönnun sýndi að 52% vefsvæða sem nota þessa viðbót hafa ekki enn uppfært og eru enn viðkvæmar. Eftir að uppfærslan hefur verið sett upp er skynsamlegt að athuga http netþjónsskrána fyrir símtöl í „connector.minimal.php“ forskriftina til að ákvarða hvort kerfið hafi verið í hættu.
Að auki geturðu tekið eftir leiðréttingarútgáfunni sem lagði til .
Heimild: opennet.ru
