WordPress plugin တစ်ခုတွင် 700 active installations နှင့်အတူ၊ ဆာဗာတွင် မတရားသော အမိန့်များနှင့် PHP script များကို လုပ်ဆောင်ရန် ခွင့်ပြုသည့် အားနည်းချက်တစ်ခု။ ပြဿနာကို File Manager မှထွက်ရှိထားသော 6.0 မှ 6.8 တွင်ပေါ်လာပြီး release 6.9 တွင်ဖြေရှင်းသည်။
ဖိုင်မန်နေဂျာ ပလပ်အင်သည် အဆင့်နိမ့်ဖိုင်ကို ကိုင်တွယ်ရန်အတွက် ပါဝင်သော စာကြည့်တိုက်ကို အသုံးပြု၍ WordPress စီမံခန့်ခွဲသူအတွက် ဖိုင်စီမံခန့်ခွဲမှုကိရိယာများကို ပံ့ပိုးပေးပါသည်။ . elFinder စာကြည့်တိုက်၏ အရင်းအမြစ်ကုဒ်တွင် တိုးချဲ့မှု “.dist” ဖြင့် အလုပ်လုပ်သော လမ်းညွှန်တွင် ပံ့ပိုးပေးထားသည့် ကုဒ်နမူနာများပါရှိသော ဖိုင်များ ပါရှိသည်။ စာကြည့်တိုက်ကို တင်ပို့လိုက်သောအခါတွင်၊ ဖိုင် "connector.minimal.php.dist" ကို "connector.minimal.php" ဟု အမည်ပြောင်းပြီး ပြင်ပတောင်းဆိုမှုများကို ပေးပို့သောအခါတွင် လုပ်ဆောင်နိုင်သည့်အတွက် အားနည်းချက်ဖြစ်လာသည်။ သတ်မှတ်ထားသော script သည် သင့်အား ဖိုင်များ (အပ်လုဒ်လုပ်ခြင်း၊ ဖွင့်ခြင်း၊ တည်းဖြတ်ခြင်း၊ အမည်ပြောင်းခြင်း၊ rm စသည်ဖြင့်) ကို လုပ်ဆောင်နိုင်စေခြင်းဖြင့် ၎င်း၏ဘောင်များကို ပင်မပလပ်အင်၏ run() လုပ်ဆောင်ချက်သို့ ပေးပို့သောကြောင့်၊ PHP ဖိုင်များကို အစားထိုးအသုံးပြုနိုင်သော၊ WordPress တွင် arbitrary code ကို run ပါ။
အန္တရာယ်ကို ပိုဆိုးစေတာက အားနည်းချက်က ရှိပြီးသားပါ။ အလိုအလျောက်တိုက်ခိုက်မှုများကိုလုပ်ဆောင်ရန်အတွက် PHP ကုဒ်ပါရှိသောပုံတစ်ပုံကို "upload" command ကိုအသုံးပြု၍ "plugins/wp-file-manager/lib/files/" directory သို့ အပ်လုဒ်လုပ်ကာ၊ ထို့နောက် အမည်ရှိသော PHP script အဖြစ်သို့ အမည်ပြောင်းသည့် ကျပန်းရွေးချယ်ပြီး “hard” သို့မဟုတ် “x” ဟူသော စာသားပါရှိသည်။ ဥပမာ၊ hardfork.php၊ hardfind.php၊ x.php စသည်ဖြင့်)။ လုပ်ဆောင်ပြီးသည်နှင့်၊ PHP ကုဒ်သည် တိုက်ခိုက်သူများအား ဆိုက်စီမံခန့်ခွဲသူ အင်တာဖေ့စ်သို့ ဝင်ရောက်ခွင့်ပေးသည့် /wp-admin/admin-ajax.php နှင့် /wp-includes/user.php ဖိုင်များသို့ နောက်ခံတစ်ခု ထည့်ပေးသည်။ “wp-file-manager/lib/php/connector.minimal.php” ဖိုင်သို့ POST တောင်းဆိုချက်တစ်ခု ပေးပို့ခြင်းဖြင့် လုပ်ဆောင်ချက်ကို ဆောင်ရွက်ပါသည်။
ဟက်ခ်ပြီးနောက်၊ backdoor မှထွက်သွားသည့်အပြင်၊ အခြားတိုက်ခိုက်သူများ၏ဆာဗာကိုတိုက်ခိုက်နိုင်ခြေကိုပိတ်ဆို့ရန်အတွက်အားနည်းချက်ပါရှိသော connector.minimal.php ဖိုင်သို့ နောက်ထပ်ခေါ်ဆိုမှုများကို ကာကွယ်ရန်အတွက် အပြောင်းအလဲများပြုလုပ်ထားကြောင်း မှတ်သားဖွယ်တွေ့ရှိရသည်။
ပထမဆုံး တိုက်ခိုက်မှုကို စက်တင်ဘာ ၁ ရက် နံနက် ၇ နာရီ (UTC) တွင် တွေ့ရှိခဲ့သည်။ IN
12:33 (UTC) ဖိုင်မန်နေဂျာပလပ်အင်၏ developer များသည် patch တစ်ခုကို ထုတ်လွှတ်ပေးခဲ့သည်။ အားနည်းချက်ကို ဖော်ထုတ်သည့် Wordfence ကုမ္ပဏီ၏ အဆိုအရ ၎င်းတို့၏ Firewall သည် အားနည်းချက်ကို အသုံးချရန် တစ်ရက်လျှင် အကြိမ်ပေါင်း 450 ခန့်ကို ပိတ်ဆို့ထားသည်။ ကွန်ရက်စကင်န်တစ်ခုတွင် ဤပလပ်အင်ကိုအသုံးပြုသည့် ဝဘ်ဆိုက်များ၏ 52% သည် မွမ်းမံမွမ်းမံရသေးပြီး အားနည်းနေသေးကြောင်း ပြသခဲ့သည်။ အပ်ဒိတ်ကို ထည့်သွင်းပြီးနောက်၊ စနစ်သည် အပေးအယူခံရခြင်းရှိမရှိ ဆုံးဖြတ်ရန် “connector.minimal.php” script သို့ခေါ်ဆိုမှုအတွက် http server မှတ်တမ်းကို စစ်ဆေးခြင်းသည် အဓိပ္ပာယ်ရှိပေသည်။
ထို့အပြင်၊ မှန်ကန်သောထုတ်ပြန်မှုကို မှတ်သားနိုင်သည်။ အဆိုပြုသည်။ .
source: opennet.ru