У WordPress-плагіні , що налічує понад 700 тисяч активних установок, вразливість, що дозволяє запускати довільні команди та PHP-скрипти на сервері. Проблема проявляється у випусках File Manager з 6.0 до 6.8 та усунена у випуску 6.9.
Плагін File Manager надає інструменти для керування файлами для адміністратора WordPress, використовуючи для низькорівневих маніпуляцій з файлами бібліотеку, що входить до складу . У вихідному коді бібліотеки elFinder є файли з прикладами коду, які поставляються в робочому каталозі з розширенням «.dist». Вразливість викликана тим, що при постачанні бібліотеки файл «connector.minimal.php.dist» був перейменований на «connector.minimal.php» і став доступним для виконання при надсиланні зовнішніх запитів. Зазначений скрипт дозволяє виконати будь-які операції з файлами (upload, open, editor, rename, rm тощо), оскільки його параметри передаються у функцію run() основного плагіна, що може використовуватися для заміни PHP-файлів у WordPress та запуску довільного коду.
Небезпека посилює те, що вразливість вже для здійснення автоматизованих атак, в ході яких в каталог plugins/wp-file-manager/lib/files/ за допомогою команди upload завантажується зображення, що містить PHP-код, яке потім перейменовується в PHP-скрипт, ім'я якого вибирається випадково і містить текст "hard" або "x.", наприклад, hardfork.php, hardfind.php, x.php і т.п.). Після запуску PHP-код додає бекдор у файли /wp-admin/admin-ajax.php та /wp-includes/user.php, що надає зловмисникам доступ до інтерфейсу адміністратора сайту. Експлуатація здійснюється через відправлення запиту POST до файлу «wp-file-manager/lib/php/connector.minimal.php».
Примітно, що після злому, крім залишення бекдора, вносяться зміни для захисту подальших звернень до файлу connector.minimal.php, в якому міститься вразливість, з метою блокування можливості атаки на сервер іншими зловмисниками.
Перші спроби атаки були виявлені 1 вересня о 7 ранку (UTC). У
12:33 (UTC) розробники плагіна File Manager випустили патч. За даними компанії Wordfence, що виявила вразливість, за день їх міжмережевий екран заблокував близько 450 тисяч спроб експлуатації вразливості. Сканування мережі показало, що 52% сайтів, які використовують даний плагін, ще не зробили оновлення і залишаються вразливими. Після встановлення оновлення має сенс перевірити в лозі http-сервера звернення до скрипта "connector.minimal.php" для визначення факту компрометації системи.
Додатково можна відзначити коригуючий випуск у якому запропоновано .
Джерело: opennet.ru