โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > ช่องโหว่ที่สำคัญในปลั๊กอิน File Manager WordPress พร้อมการติดตั้ง 700 ครั้ง

ช่องโหว่ที่สำคัญในปลั๊กอิน File Manager WordPress พร้อมการติดตั้ง 700 ครั้ง

ในปลั๊กอิน WordPress ตัวจัดการไฟล์ด้วยการติดตั้งที่ใช้งานอยู่มากกว่า 700 ครั้ง ระบุ ช่องโหว่ที่อนุญาตให้เรียกใช้คำสั่งที่กำหนดเองและสคริปต์ PHP บนเซิร์ฟเวอร์ ปัญหานี้ปรากฏใน File Manager รุ่น 6.0 ถึง 6.8 และได้รับการแก้ไขแล้วในรุ่น 6.9

ปลั๊กอินตัวจัดการไฟล์มีเครื่องมือการจัดการไฟล์สำหรับผู้ดูแลระบบ WordPress โดยใช้ไลบรารีที่รวมไว้สำหรับการจัดการไฟล์ระดับต่ำ เอลไฟน์เดอร์. ซอร์สโค้ดของไลบรารี elFinder ประกอบด้วยไฟล์พร้อมตัวอย่างโค้ด ซึ่งให้มาในไดเร็กทอรีการทำงานที่มีนามสกุล “.dist” ช่องโหว่นี้เกิดจากข้อเท็จจริงที่ว่าเมื่อมีการจัดส่งไลบรารี ไฟล์ "connector.minimal.php.dist" ถูกเปลี่ยนชื่อเป็น "connector.minimal.php" และพร้อมสำหรับการดำเนินการเมื่อส่งคำขอจากภายนอก สคริปต์ที่ระบุช่วยให้คุณสามารถดำเนินการใดๆ กับไฟล์ได้ (อัปโหลด, เปิด, แก้ไข, เปลี่ยนชื่อ, rm ฯลฯ) เนื่องจากพารามิเตอร์ของสคริปต์จะถูกส่งไปยังฟังก์ชัน run() ของปลั๊กอินหลัก ซึ่งสามารถใช้เพื่อแทนที่ไฟล์ PHP ใน WordPress และเรียกใช้โค้ดที่กำหนดเอง

สิ่งที่ทำให้อันตรายแย่ลงก็คือความเปราะบางนั้นมีอยู่แล้ว เคย เพื่อทำการโจมตีอัตโนมัติ โดยในระหว่างนั้นรูปภาพที่มีโค้ด PHP จะถูกอัพโหลดไปยังไดเร็กทอรี “plugins/wp-file-manager/lib/files/” โดยใช้คำสั่ง “upload” ซึ่งจากนั้นจะเปลี่ยนชื่อเป็นสคริปต์ PHP ที่มีชื่อว่า เลือกแบบสุ่มและมีข้อความ "hard" หรือ "x." เช่น hardfork.php, hardfind.php, x.php เป็นต้น) เมื่อดำเนินการแล้ว โค้ด PHP จะเพิ่มแบ็คดอร์ให้กับไฟล์ /wp-admin/admin-ajax.php และ /wp-includes/user.php ทำให้ผู้โจมตีสามารถเข้าถึงอินเทอร์เฟซผู้ดูแลระบบของไซต์ได้ การดำเนินการดำเนินการโดยการส่งคำขอ POST ไปยังไฟล์ “wp-file-manager/lib/php/connector.minimal.php”

เป็นที่น่าสังเกตว่าหลังจากการแฮ็ก นอกเหนือจากการออกจากประตูหลังแล้ว ยังมีการเปลี่ยนแปลงเพื่อปกป้องการเรียกเพิ่มเติมไปยังไฟล์ connector.minimal.php ซึ่งมีช่องโหว่ เพื่อป้องกันโอกาสที่ผู้โจมตีรายอื่นจะโจมตีเซิร์ฟเวอร์
ตรวจพบความพยายามโจมตีครั้งแรกในวันที่ 1 กันยายน เวลา 7 น. (UTC) ใน
12:33 (UTC) ผู้พัฒนาปลั๊กอิน File Manager ได้เปิดตัวแพตช์ จากข้อมูลของบริษัท Wordfence ที่ระบุช่องโหว่ดังกล่าว ไฟร์วอลล์ของบริษัทได้บล็อกความพยายามในการใช้ประโยชน์จากช่องโหว่ดังกล่าวประมาณ 450 ครั้งต่อวัน การสแกนเครือข่ายพบว่า 52% ของไซต์ที่ใช้ปลั๊กอินนี้ยังไม่ได้อัปเดตและยังคงมีช่องโหว่อยู่ หลังจากติดตั้งการอัปเดต คุณควรตรวจสอบบันทึกเซิร์ฟเวอร์ http สำหรับการเรียกสคริปต์ “connector.minimal.php” เพื่อตรวจสอบว่าระบบถูกบุกรุกหรือไม่

นอกจากนี้ คุณสามารถสังเกตการนำออกใช้แก้ไขได้ 5.5.1 WordPress ซึ่งเสนอ 40 การแก้ไข.

ที่มา: opennet.ru

เพิ่มความคิดเห็น