В WordPress-plugin com mais de 700 mil instalações ativas, uma vulnerabilidade que permite que comandos arbitrários e scripts PHP sejam executados no servidor. O problema aparece nas versões 6.0 a 6.8 do File Manager e foi resolvido na versão 6.9.
O plugin Gerenciador de Arquivos fornece ferramentas de gerenciamento de arquivos para o administrador. WordPress, utilizando a biblioteca incluída para manipulação de arquivos de baixo nível O código-fonte da biblioteca elFinder contém arquivos de código de exemplo, fornecidos no diretório de trabalho com a extensão ".dist". A vulnerabilidade ocorre porque, durante a distribuição da biblioteca, o arquivo "connector.minimal.php.dist" foi renomeado para "connector.minimal.php" e ficou disponível para execução ao enviar requisições externas. Esse script permite a execução de qualquer operação de arquivo (upload, abrir, editar, renomear, remover, etc.), já que seus parâmetros são passados para a função run() do plugin principal, que pode ser usada para substituir arquivos PHP. WordPress e executar código arbitrário.
O que torna o perigo pior é que a vulnerabilidade já está para realizar ataques automatizados, durante os quais uma imagem contendo código PHP é carregada no diretório “plugins/wp-file-manager/lib/files/” usando o comando “upload”, que é então renomeado para um script PHP cujo nome é escolhido aleatoriamente e contém o texto “hard” ou “x.”, por exemplo, hardfork.php, hardfind.php, x.php, etc.). Uma vez executado, o código PHP adiciona um backdoor aos arquivos /wp-admin/admin-ajax.php e /wp-includes/user.php, dando aos invasores acesso à interface do administrador do site. A operação é realizada enviando uma solicitação POST para o arquivo “wp-file-manager/lib/php/connector.minimal.php”.
Vale ressaltar que após o hack, além de sair do backdoor, são feitas alterações para proteger futuras chamadas ao arquivo Connector.minimal.php, que contém a vulnerabilidade, a fim de bloquear a possibilidade de ataque ao servidor por outros invasores.
As primeiras tentativas de ataque foram detectadas no dia 1º de setembro às 7h (UTC). EM
12h33 (UTC) os desenvolvedores do plugin File Manager lançaram um patch. De acordo com a empresa Wordfence que identificou a vulnerabilidade, seu firewall bloqueou cerca de 450 mil tentativas de exploração da vulnerabilidade por dia. Uma varredura de rede mostrou que 52% dos sites que usam este plugin ainda não foram atualizados e permanecem vulneráveis. Depois de instalar a atualização, faz sentido verificar o log do servidor http em busca de chamadas para o script “connector.minimal.php” para determinar se o sistema foi comprometido.
Além disso, você pode observar a liberação corretiva que propôs .
Fonte: opennet.ru
