WordPress плагинінде 700 мыңнан астам белсенді қондырғылармен, серверде ерікті командалар мен PHP сценарийлерін орындауға мүмкіндік беретін осалдық. Мәселе File Manager 6.0-6.8 нұсқаларында пайда болады және 6.9 шығарылымында шешілді.
File Manager плагині төмен деңгейлі файлдарды өңдеуге арналған кітапхананы пайдалана отырып, WordPress әкімшісі үшін файлдарды басқару құралдарын қамтамасыз етеді. . elFinder кітапханасының бастапқы коды «.dist» кеңейтімімен жұмыс каталогында берілген код мысалдары бар файлдарды қамтиды. Осалдық кітапхананы жөнелткен кезде «connector.minimal.php.dist» файлының атауы «connector.minimal.php» болып өзгертіліп, сыртқы сұрауларды жіберу кезінде орындауға қолжетімді болғанымен туындады. Көрсетілген сценарий файлдармен кез келген операцияларды (жүктеп салу, ашу, өңдеу, атын өзгерту, rm және т.б.) орындауға мүмкіндік береді, өйткені оның параметрлері PHP файлдарын ауыстыру үшін пайдаланылуы мүмкін негізгі плагиннің run() функциясына беріледі. WordPress-те және еркін кодты іске қосыңыз.
Қауіпті одан сайын нашарлататын нәрсе - осалдықтың қазірдің өзінде бар екендігі автоматтандырылған шабуылдарды жүзеге асыру үшін, оның барысында РНР коды бар кескін «plugins/wp-file-manager/lib/files/» каталогына «жүктеп салу» пәрмені арқылы жүктеледі, содан кейін оның аты PHP сценарийіне өзгертіледі. кездейсоқ таңдалады және «қатты» немесе «x.» мәтінін қамтиды, мысалы, hardfork.php, hardfind.php, x.php және т.б.). Орындалған соң, PHP коды /wp-admin/admin-ajax.php және /wp-includes/user.php файлдарына бэкдорды қосады, бұл шабуылдаушыларға сайт әкімшісі интерфейсіне кіруге мүмкіндік береді. Операция «wp-file-manager/lib/php/connector.minimal.php» файлына POST сұрауын жіберу арқылы жүзеге асырылады.
Бір қызығы, бұзудан кейін бэкдордан шығумен қатар, серверге басқа шабуылдаушылардың шабуыл жасау мүмкіндігін блоктау үшін осалдықты қамтитын connector.minimal.php файлына келесі қоңырауларды қорғау үшін өзгертулер енгізіледі.
Алғашқы шабуыл әрекеттері 1 қыркүйек күні таңғы сағат 7-де (UTC) анықталды. IN
12:33 (UTC) File Manager плагинін әзірлеушілер патч шығарды. Осалдықты анықтаған Wordfence компаниясының мәліметі бойынша, олардың брандмауэрі тәулігіне 450 мыңға жуық осалдықты пайдалану әрекетін бұғаттаған. Желіні сканерлеу осы плагинді пайдаланатын сайттардың 52% әлі жаңартылмағанын және осал болып қалатынын көрсетті. Жаңартуды орнатқаннан кейін жүйенің бұзылғанын анықтау үшін http серверінің журналында “connector.minimal.php” сценарийіне қоңыраулар бар-жоғын тексеру маңызды.
Сонымен қатар, сіз түзету шығарылымын атап өтуге болады ұсынған .
Ақпарат көзі: opennet.ru