WordPress spraudnī ar vairāk nekā 700 tūkstošiem aktīvo instalāciju, ievainojamība, kas ļauj serverī izpildīt patvaļīgas komandas un PHP skriptus. Problēma parādās failu pārvaldnieka laidienos no 6.0 līdz 6.8, un tā ir atrisināta 6.9. laidienā.
Failu pārvaldnieka spraudnis nodrošina failu pārvaldības rīkus WordPress administratoram, izmantojot iekļauto bibliotēku zema līmeņa failu manipulācijām . ElFinder bibliotēkas avota kodā ir faili ar kodu piemēriem, kas tiek nodrošināti darba direktorijā ar paplašinājumu “.dist”. Ievainojamību izraisa fakts, ka, nosūtot bibliotēku, fails "connector.minimal.php.dist" tika pārdēvēts par "connector.minimal.php" un kļuva pieejams izpildei, nosūtot ārējus pieprasījumus. Norādītais skripts ļauj veikt jebkādas darbības ar failiem (augšupielādēt, atvērt, rediģēt, pārdēvēt, rm utt.), jo tā parametri tiek nodoti galvenā spraudņa funkcijai run(), ar kuru var aizstāt PHP failus. WordPress un palaist patvaļīgu kodu.
Briesmas pasliktina tas, ka neaizsargātība jau ir veikt automatizētus uzbrukumus, kuru laikā ar komandu “upload” direktorijā “plugins/wp-file-manager/lib/files/” tiek augšupielādēts attēls ar PHP kodu, kas pēc tam tiek pārdēvēts par PHP skriptu, kura nosaukums ir izvēlēts nejauši un satur tekstu “hard” vai “x.”, piemēram, hardfork.php, hardfind.php, x.php utt.). Kad PHP kods ir izpildīts, failiem /wp-admin/admin-ajax.php un /wp-includes/user.php tiek pievienotas aizmugures durvis, nodrošinot uzbrucējiem piekļuvi vietnes administratora saskarnei. Darbība tiek veikta, nosūtot POST pieprasījumu uz failu “wp-file-manager/lib/php/connector.minimal.php”.
Zīmīgi, ka pēc uzlaušanas papildus aizmugures durvju atstāšanai tiek veiktas izmaiņas, lai aizsargātu turpmākos izsaukumus uz connector.minimal.php failu, kas satur ievainojamību, lai bloķētu iespēju citiem uzbrucējiem uzbrukt serverim.
Pirmie uzbrukuma mēģinājumi tika konstatēti 1.septembrī plkst.7 (UTC). IN
12:33 (UTC) Failu pārvaldnieka spraudņa izstrādātāji ir izlaiduši ielāpu. Saskaņā ar uzņēmuma Wordfence datiem, kas identificēja ievainojamību, viņu ugunsmūris bloķēja aptuveni 450 tūkstošus mēģinājumu izmantot ievainojamību dienā. Tīkla skenēšana parādīja, ka 52% vietņu, kurās tiek izmantots šis spraudnis, vēl nav atjauninātas un joprojām ir neaizsargātas. Pēc atjauninājuma instalēšanas ir lietderīgi pārbaudīt http servera žurnālu, vai nav izsaukuši skriptu “connector.minimal.php”, lai noteiktu, vai sistēma nav apdraudēta.
Turklāt varat atzīmēt korektīvo atbrīvošanu kas ierosināja .
Avots: opennet.ru