В WordPress-spraudnis ar vairāk nekā 700 tūkstošiem aktīvo instalāciju, ievainojamība, kas ļauj serverī izpildīt patvaļīgas komandas un PHP skriptus. Problēma parādās failu pārvaldnieka laidienos no 6.0 līdz 6.8, un tā ir atrisināta 6.9. laidienā.
Плагин File Manager предоставляет инструменты для управления файлами для администратора WordPress, используя для низкоуровневых манипуляций с файлами входящую в состав библиотеку . В исходном коде библиотеки elFinder присутствуют файлы с примерами кода, которые поставляются в рабочем каталоге с расширением «.dist». Уязвимость вызвана тем, что при поставке библиотеки файл «connector.minimal.php.dist» был переименован в «connector.minimal.php» и стал доступен для выполнения при отправке внешних запросов. Указанный скрипт позволяет выполнить любые операции с файлами (upload, open, editor, rename, rm и т.п.), так как его параметры передаются в функцию run() основного плагина, что может использоваться для замены PHP-файлов в WordPress и запуска произвольного кода.
Briesmas pasliktina tas, ka neaizsargātība jau ir veikt automatizētus uzbrukumus, kuru laikā ar komandu “upload” direktorijā “plugins/wp-file-manager/lib/files/” tiek augšupielādēts attēls ar PHP kodu, kas pēc tam tiek pārdēvēts par PHP skriptu, kura nosaukums ir izvēlēts nejauši un satur tekstu “hard” vai “x.”, piemēram, hardfork.php, hardfind.php, x.php utt.). Kad PHP kods ir izpildīts, failiem /wp-admin/admin-ajax.php un /wp-includes/user.php tiek pievienotas aizmugures durvis, nodrošinot uzbrucējiem piekļuvi vietnes administratora saskarnei. Darbība tiek veikta, nosūtot POST pieprasījumu uz failu “wp-file-manager/lib/php/connector.minimal.php”.
Zīmīgi, ka pēc uzlaušanas papildus aizmugures durvju atstāšanai tiek veiktas izmaiņas, lai aizsargātu turpmākos izsaukumus uz connector.minimal.php failu, kas satur ievainojamību, lai bloķētu iespēju citiem uzbrucējiem uzbrukt serverim.
Pirmie uzbrukuma mēģinājumi tika konstatēti 1.septembrī plkst.7 (UTC). IN
12:33 (UTC) Failu pārvaldnieka spraudņa izstrādātāji ir izlaiduši ielāpu. Saskaņā ar uzņēmuma Wordfence datiem, kas identificēja ievainojamību, viņu ugunsmūris bloķēja aptuveni 450 tūkstošus mēģinājumu izmantot ievainojamību dienā. Tīkla skenēšana parādīja, ka 52% vietņu, kurās tiek izmantots šis spraudnis, vēl nav atjauninātas un joprojām ir neaizsargātas. Pēc atjauninājuma instalēšanas ir lietderīgi pārbaudīt http servera žurnālu, vai nav izsaukuši skriptu “connector.minimal.php”, lai noteiktu, vai sistēma nav apdraudēta.
Turklāt varat atzīmēt korektīvo atbrīvošanu kas ierosināja .
Avots: opennet.ru
