В WordPress-plugin s viac ako 700 000 aktívnymi inštaláciami, Zraniteľnosť, ktorá umožňuje vykonávanie ľubovoľných príkazov a PHP skriptov na serveri. Problém sa týka verzií Správcu súborov 6.0 až 6.8 a je opravený vo verzii 6.9.
Doplnok Správca súborov poskytuje správcovi nástroje na správu súborov. WordPress, s použitím priloženej knižnice na manipuláciu so súbormi na nízkej úrovni Zdrojový kód knižnice elFinder obsahuje súbory s príkladmi kódu, ktoré sú dodávané v pracovnom adresári s príponou „.dist“. Zraniteľnosť je spôsobená tým, že počas distribúcie knižnice bol súbor „connector.minimal.php.dist“ premenovaný na „connector.minimal.php“ a stal sa dostupným na vykonanie pri odosielaní externých požiadaviek. Tento skript umožňuje vykonávanie akýchkoľvek operácií so súbormi (nahrávanie, otváranie, editor, premenovanie, rm atď.), pretože jeho parametre sa odovzdávajú funkcii run() hlavného pluginu, ktorú je možné použiť na nahradenie PHP súborov v WordPress a spúšťanie ľubovoľného kódu.
Nebezpečenstvo je umocnené skutočnosťou, že zraniteľnosť je už Na vykonanie automatizovaných útokov sa obrázok obsahujúci PHP kód nahrá do adresára „plugins/wp-file-manager/lib/files/“ pomocou príkazu „upload“. Obrázok sa potom premenuje na PHP skript s náhodne zvoleným názvom obsahujúcim text „hard“ alebo „x.“ (napr. hardfork.php, hardfind.php, x.php atď.). Po spustení PHP kód pridá zadné vrátka do súborov /wp-admin/admin-ajax.php a /wp-includes/user.php, čím útočníkom poskytne prístup k administrátorskému rozhraniu stránky. Zneužitie sa dosiahne odoslaním POST požiadavky do súboru „wp-file-manager/lib/php/connector.minimal.php“.
Za zmienku stojí, že po hackerskom útoku sa okrem opustenia zadných vrátok vykonajú aj zmeny na ochranu ďalšieho prístupu k súboru connector.minimal.php, ktorý obsahuje zraniteľnosť, aby sa zablokovala možnosť útoku iných útočníkov na server.
Prvé pokusy o útok boli zaznamenané 1. septembra o 7:00 (UTC).
O 12:33 (UTC) vydali vývojári pluginu File Manager opravu. Podľa spoločnosti Wordfence, ktorá objavila zraniteľnosť, ich firewall zablokoval približne 450 000 pokusov o zneužitie zraniteľnosti za jeden deň. Skenovanie siete odhalilo, že 52 % webových stránok používajúcich plugin sa ešte neaktualizovalo a zostávajú zraniteľné. Po nainštalovaní aktualizácie je vhodné skontrolovať protokol HTTP servera, či neobsahuje volania skriptu „connector.minimal.php“, aby sa zistilo, či systém nebol napadnutý.
Okrem toho možno zaznamenať aj korekčné uvoľnenie. v ktorom sa navrhuje .
Zdroj: opennet.ru
