Katika programu-jalizi ya WordPress na mitambo hai zaidi ya elfu 700, udhaifu unaoruhusu amri kiholela na hati za PHP kutekelezwa kwenye seva. Suala hilo linaonekana katika toleo la Kidhibiti cha Faili 6.0 hadi 6.8 na linatatuliwa katika toleo la 6.9.
Programu-jalizi ya Kidhibiti Faili hutoa zana za usimamizi wa faili kwa msimamizi wa WordPress, kwa kutumia maktaba iliyojumuishwa kwa uchezaji wa faili wa kiwango cha chini. . Msimbo wa chanzo wa maktaba ya elFinder una faili zilizo na mifano ya msimbo, ambazo hutolewa katika saraka ya kufanya kazi na kiendelezi ".dist". Athari hii inasababishwa na ukweli kwamba wakati maktaba ilisafirishwa, faili "connector.minimal.php.dist" ilibadilishwa jina na kuwa "connector.minimal.php" na ikawa inapatikana kwa utekelezaji wakati wa kutuma maombi ya nje. Hati iliyoainishwa hukuruhusu kufanya shughuli zozote na faili (pakia, fungua, hariri, badilisha jina, rm, n.k.), kwani vigezo vyake hupitishwa kwa run() kazi ya programu-jalizi kuu, ambayo inaweza kutumika kuchukua nafasi ya faili za PHP. katika WordPress na endesha msimbo wa kiholela.
Kinachofanya hatari kuwa mbaya zaidi ni kwamba hatari tayari iko kutekeleza mashambulizi ya kiotomatiki, ambapo picha iliyo na msimbo wa PHP inapakiwa kwenye saraka ya "plugins/wp-file-manager/lib/files/" kwa kutumia amri ya "pakia", ambayo inabadilishwa jina kuwa hati ya PHP ambayo jina lake ni. iliyochaguliwa kwa nasibu na ina maandishi "ngumu" au "x.", kwa mfano, hardfork.php, hardfind.php, x.php, nk). Mara baada ya kutekelezwa, msimbo wa PHP huongeza mlango wa nyuma kwa faili za /wp-admin/admin-ajax.php na /wp-includes/user.php, kuwapa washambuliaji kufikia kiolesura cha msimamizi wa tovuti. Uendeshaji unafanywa kwa kutuma ombi la POST kwa faili "wp-file-manager/lib/php/connector.minimal.php".
Ni vyema kutambua kwamba baada ya hack, pamoja na kuacha mlango wa nyuma, mabadiliko yanafanywa ili kulinda simu zaidi kwa faili ya connector.minimal.php, ambayo ina mazingira magumu, ili kuzuia uwezekano wa washambuliaji wengine kushambulia seva.
Majaribio ya mashambulizi ya kwanza yaligunduliwa mnamo Septemba 1 saa 7 asubuhi (UTC). KATIKA
12:33 (UTC) wasanidi wa programu-jalizi ya Kidhibiti Faili wametoa kiraka. Kulingana na kampuni ya Wordfence iliyotambua uwezekano huo, ngome yao ilizuia majaribio elfu 450 ya kutumia hatari hiyo kwa siku. Uchunguzi wa mtandao ulionyesha kuwa 52% ya tovuti zinazotumia programu-jalizi hii bado hazijasasishwa na zinaendelea kuwa hatarini. Baada ya kusakinisha sasisho, ni jambo la busara kuangalia logi ya seva ya http kwa simu kwa hati ya "connector.minimal.php" ili kubaini ikiwa mfumo umeingiliwa.
Zaidi ya hayo, unaweza kutambua kutolewa kwa kurekebisha ambayo ilipendekeza .
Chanzo: opennet.ru