We wtyczce WordPress z ponad 700 tysiącami aktywnych instalacji, luka umożliwiająca wykonanie dowolnych poleceń i skryptów PHP na serwerze. Problem pojawia się w Menedżerze plików w wersjach od 6.0 do 6.8 i został rozwiązany w wersji 6.9.
Wtyczka File Manager udostępnia administratorowi WordPressa narzędzia do zarządzania plikami, wykorzystując dołączoną bibliotekę do niskopoziomowej manipulacji plikami . Kod źródłowy biblioteki elFinder zawiera pliki z przykładami kodu, które znajdują się w katalogu roboczym z rozszerzeniem „.dist”. Luka wynika z faktu, że w chwili dostarczenia biblioteki nazwa pliku „connector.minimal.php.dist” została zmieniona na „connector.minimal.php” i stał się dostępny do wykonania podczas wysyłania żądań zewnętrznych. Podany skrypt umożliwia wykonanie dowolnych operacji na plikach (przesłanie, otwarcie, edycja, zmiana nazwy, rm itp.), gdyż jego parametry przekazywane są do funkcji run() głównej wtyczki, którą można wykorzystać do zamiany plików PHP w WordPress i uruchom dowolny kod.
Tym, co zwiększa niebezpieczeństwo, jest to, że podatność już istnieje w celu przeprowadzenia zautomatyzowanych ataków, podczas których obraz zawierający kod PHP jest ładowany do katalogu „plugins/wp-file-manager/lib/files/” za pomocą polecenia „upload”, którego nazwa jest następnie zmieniana na skrypt PHP o nazwie wybierany losowo i zawiera tekst „hard” lub „x”, na przykład hardfork.php, hardfind.php, x.php itp.). Po wykonaniu kod PHP dodaje backdoora do plików /wp-admin/admin-ajax.php i /wp-includes/user.php, zapewniając atakującym dostęp do interfejsu administratora witryny. Operacja odbywa się poprzez wysłanie żądania POST do pliku „wp-file-manager/lib/php/connector.minimal.php”.
Warto zauważyć, że po włamaniu, oprócz opuszczenia backdoora, wprowadzane są zmiany mające na celu zabezpieczenie dalszych wywołań pliku złącze.minimal.php, w którym znajduje się luka, w celu zablokowania możliwości ataku innych atakujących na serwer.
Pierwsze próby ataku wykryto 1 września o godzinie 7:XNUMX (UTC). W
12:33 (UTC) twórcy wtyczki File Manager wypuścili łatkę. Według firmy Wordfence, która zidentyfikowała lukę, jej zapora sieciowa blokowała około 450 tysięcy prób wykorzystania tej luki dziennie. Skan sieci wykazał, że 52% witryn korzystających z tej wtyczki nie zostało jeszcze zaktualizowanych i pozostaje podatnych na ataki. Po zainstalowaniu aktualizacji warto sprawdzić dziennik serwera http pod kątem wywołań skryptu „connector.minimal.php” w celu ustalenia, czy system nie został zainfekowany.
Dodatkowo możesz zanotować wydanie korygujące który zaproponował .
Źródło: opennet.ru