Em um plugin WordPress com mais de 700 mil instalações ativas, uma vulnerabilidade que permite que comandos arbitrários e scripts PHP sejam executados no servidor. O problema aparece nas versões 6.0 a 6.8 do File Manager e foi resolvido na versão 6.9.
O plugin File Manager fornece ferramentas de gerenciamento de arquivos para o administrador do WordPress, usando a biblioteca incluída para manipulação de arquivos de baixo nível . O código fonte da biblioteca elFinder contém arquivos com exemplos de código, que são fornecidos no diretório de trabalho com a extensão “.dist”. A vulnerabilidade é causada pelo fato de que quando a biblioteca foi enviada, o arquivo "connector.minimal.php.dist" foi renomeado para "connector.minimal.php" e ficou disponível para execução no envio de solicitações externas. O script especificado permite realizar qualquer operação com arquivos (carregar, abrir, editar, renomear, rm, etc.), já que seus parâmetros são passados para a função run() do plugin principal, que pode ser usada para substituir arquivos PHP no WordPress e execute código arbitrário.
O que torna o perigo pior é que a vulnerabilidade já está para realizar ataques automatizados, durante os quais uma imagem contendo código PHP é carregada no diretório “plugins/wp-file-manager/lib/files/” usando o comando “upload”, que é então renomeado para um script PHP cujo nome é escolhido aleatoriamente e contém o texto “hard” ou “x.”, por exemplo, hardfork.php, hardfind.php, x.php, etc.). Uma vez executado, o código PHP adiciona um backdoor aos arquivos /wp-admin/admin-ajax.php e /wp-includes/user.php, dando aos invasores acesso à interface do administrador do site. A operação é realizada enviando uma solicitação POST para o arquivo “wp-file-manager/lib/php/connector.minimal.php”.
Vale ressaltar que após o hack, além de sair do backdoor, são feitas alterações para proteger futuras chamadas ao arquivo Connector.minimal.php, que contém a vulnerabilidade, a fim de bloquear a possibilidade de ataque ao servidor por outros invasores.
As primeiras tentativas de ataque foram detectadas no dia 1º de setembro às 7h (UTC). EM
12h33 (UTC) os desenvolvedores do plugin File Manager lançaram um patch. De acordo com a empresa Wordfence que identificou a vulnerabilidade, seu firewall bloqueou cerca de 450 mil tentativas de exploração da vulnerabilidade por dia. Uma varredura de rede mostrou que 52% dos sites que usam este plugin ainda não foram atualizados e permanecem vulneráveis. Depois de instalar a atualização, faz sentido verificar o log do servidor http em busca de chamadas para o script “connector.minimal.php” para determinar se o sistema foi comprometido.
Além disso, você pode observar a liberação corretiva que propôs .
Fonte: opennet.ru