In een WordPress-plug-in met meer dan 700 actieve installaties, een kwetsbaarheid waardoor willekeurige opdrachten en PHP-scripts op de server kunnen worden uitgevoerd. Het probleem komt voor in File Manager releases 6.0 tot en met 6.8 en is opgelost in release 6.9.
De File Manager-plug-in biedt hulpmiddelen voor bestandsbeheer voor de WordPress-beheerder, waarbij de meegeleverde bibliotheek wordt gebruikt voor bestandsmanipulatie op laag niveau . De broncode van de elFinder-bibliotheek bevat bestanden met codevoorbeelden, die in de werkmap worden geleverd met de extensie “.dist”. Het beveiligingslek wordt veroorzaakt door het feit dat bij de levering van de bibliotheek het bestand "connector.minimal.php.dist" werd hernoemd naar "connector.minimal.php" en beschikbaar kwam voor uitvoering bij het verzenden van externe verzoeken. Met het opgegeven script kunt u alle bewerkingen met bestanden uitvoeren (uploaden, openen, bewerken, hernoemen, rm, enz.), omdat de parameters ervan worden doorgegeven aan de run()-functie van de hoofdplug-in, die kan worden gebruikt om PHP-bestanden te vervangen in WordPress en voer willekeurige code uit.
Wat het gevaar nog groter maakt, is dat er al sprake is van kwetsbaarheid om geautomatiseerde aanvallen uit te voeren, waarbij een afbeelding met PHP-code wordt geüpload naar de map “plugins/wp-file-manager/lib/files/” met behulp van de opdracht “upload”, die vervolgens wordt hernoemd naar een PHP-script met de naam willekeurig gekozen en bevat de tekst “hard” of “x.”, bijvoorbeeld hardfork.php, hardfind.php, x.php, enz.). Eenmaal uitgevoerd, voegt de PHP-code een achterdeur toe aan de bestanden /wp-admin/admin-ajax.php en /wp-includes/user.php, waardoor aanvallers toegang krijgen tot de beheerdersinterface van de site. De bediening wordt uitgevoerd door een POST-verzoek naar het bestand “wp-file-manager/lib/php/connector.minimal.php” te sturen.
Het is opmerkelijk dat na de hack, naast het verlaten van de achterdeur, wijzigingen zijn aangebracht om verdere aanroepen naar het connector.minimal.php-bestand, dat de kwetsbaarheid bevat, te beschermen, om de mogelijkheid te blokkeren dat andere aanvallers de server aanvallen.
De eerste aanvalspogingen werden op 1 september om 7 uur (UTC) gedetecteerd. IN
12:33 (UTC) De ontwikkelaars van de File Manager-plug-in hebben een patch uitgebracht. Volgens het bedrijf Wordfence dat de kwetsbaarheid heeft geïdentificeerd, blokkeerde hun firewall ongeveer 450 pogingen om de kwetsbaarheid per dag te misbruiken. Uit een netwerkscan bleek dat 52% van de sites die deze plug-in gebruiken nog niet zijn bijgewerkt en kwetsbaar blijven. Na het installeren van de update is het zinvol om het http-serverlogboek te controleren op oproepen naar het script “connector.minimal.php” om te bepalen of het systeem is gecompromitteerd.
Bovendien kunt u de corrigerende release noteren die voorstelde .
Bron: opennet.ru