V doplnku WordPress s viac ako 700 tisíc aktívnymi inštaláciami, zraniteľnosť, ktorá umožňuje spúšťanie ľubovoľných príkazov a PHP skriptov na serveri. Problém sa objavuje vo verziách Správcu súborov 6.0 až 6.8 a je vyriešený vo verzii 6.9.
Doplnok Správca súborov poskytuje správcovi WordPress nástroje na správu súborov pomocou priloženej knižnice na manipuláciu so súbormi na nízkej úrovni . Zdrojový kód knižnice elFinder obsahuje súbory s príkladmi kódu, ktoré sú dodávané v pracovnom adresári s príponou „.dist“. Zraniteľnosť je spôsobená skutočnosťou, že pri odoslaní knižnice bol súbor „connector.minimal.php.dist“ premenovaný na „connector.minimal.php“ a stal sa dostupným na vykonanie pri odosielaní externých požiadaviek. Zadaný skript vám umožňuje vykonávať ľubovoľné operácie so súbormi (nahrať, otvoriť, upraviť, premenovať, rm atď.), pretože jeho parametre sa prenášajú do funkcie run() hlavného pluginu, pomocou ktorej je možné nahradiť súbory PHP vo WordPress a spustite ľubovoľný kód.
Nebezpečenstvo je ešte horšie, že zraniteľnosť už existuje na vykonávanie automatizovaných útokov, počas ktorých sa do adresára „plugins/wp-file-manager/lib/files/“ pomocou príkazu „upload“ nahrá obrázok s PHP kódom, ktorý sa následne premenuje na PHP skript s názvom vybraný náhodne a obsahuje text „hard“ alebo „x.“, napríklad hardfork.php, hardfind.php, x.php atď.). Po spustení pridá kód PHP do súborov /wp-admin/admin-ajax.php a /wp-includes/user.php zadné vrátka, čím útočníkom poskytne prístup k rozhraniu správcu lokality. Operácia sa vykonáva odoslaním požiadavky POST do súboru „wp-file-manager/lib/php/connector.minimal.php“.
Je pozoruhodné, že po hackovaní sa okrem opustenia zadného vrátka vykonajú zmeny na ochranu ďalších volaní do súboru connector.minimal.php, ktorý obsahuje zraniteľnosť, aby sa zablokovala možnosť útoku iných útočníkov na server.
Prvé pokusy o útok boli zistené 1. septembra o 7:XNUMX (UTC). IN
12:33 (UTC) vývojári doplnku File Manager vydali opravu. Podľa spoločnosti Wordfence, ktorá túto zraniteľnosť identifikovala, ich firewall zablokoval približne 450 tisíc pokusov o zneužitie zraniteľnosti denne. Skenovanie siete ukázalo, že 52 % stránok používajúcich tento doplnok sa ešte neaktualizovalo a zostáva zraniteľné. Po nainštalovaní aktualizácie má zmysel skontrolovať protokol http servera, či neobsahuje volania skriptu „connector.minimal.php“, aby ste zistili, či bol systém napadnutý.
Okrem toho si môžete všimnúť opravné vydanie ktorý navrhol .
Zdroj: opennet.ru