ایک ورڈپریس پلگ ان میں 700 ہزار سے زیادہ فعال تنصیبات کے ساتھ، ایک کمزوری جو صوابدیدی کمانڈز اور پی ایچ پی اسکرپٹس کو سرور پر عمل میں لانے کی اجازت دیتی ہے۔ یہ مسئلہ فائل مینیجر کی ریلیز 6.0 سے 6.8 میں ظاہر ہوتا ہے اور ریلیز 6.9 میں حل ہو جاتا ہے۔
فائل مینیجر پلگ ان ورڈپریس ایڈمنسٹریٹر کے لیے فائل مینجمنٹ ٹولز فراہم کرتا ہے، کم درجے کی فائل ہیرا پھیری کے لیے شامل لائبریری کا استعمال کرتے ہوئے . ایل فائنڈر لائبریری کے سورس کوڈ میں کوڈ کی مثالوں والی فائلیں ہوتی ہیں، جو ورکنگ ڈائرکٹری میں ایکسٹینشن ".dist" کے ساتھ فراہم کی جاتی ہیں۔ کمزوری اس حقیقت کی وجہ سے ہے کہ جب لائبریری بھیجی گئی تھی، فائل "connector.minimal.php.dist" کا نام تبدیل کر کے "connector.minimal.php" رکھ دیا گیا تھا اور بیرونی درخواستیں بھیجنے پر عمل درآمد کے لیے دستیاب ہو گیا تھا۔ مخصوص اسکرپٹ آپ کو فائلوں (اپ لوڈ، اوپن، ایڈیٹر، نام تبدیل، rm، وغیرہ) کے ساتھ کوئی بھی آپریشن کرنے کی اجازت دیتا ہے، کیونکہ اس کے پیرامیٹرز مین پلگ ان کے رن() فنکشن میں منتقل ہوتے ہیں، جسے پی ایچ پی فائلوں کو تبدیل کرنے کے لیے استعمال کیا جا سکتا ہے۔ ورڈپریس میں اور صوابدیدی کوڈ چلائیں۔
جو چیز خطرے کو مزید بدتر بناتی ہے وہ یہ ہے کہ کمزوری پہلے ہی موجود ہے۔ خودکار حملوں کو انجام دینے کے لیے، جس کے دوران PHP کوڈ پر مشتمل ایک تصویر کو "upload" کمانڈ کا استعمال کرتے ہوئے "plugins/wp-file-manager/lib/files/" ڈائرکٹری میں اپ لوڈ کیا جاتا ہے، جسے پھر پی ایچ پی اسکرپٹ میں تبدیل کر دیا جاتا ہے جس کا نام یہ ہے۔ تصادفی طور پر منتخب کیا گیا ہے اور متن "ہارڈ" یا "x" پر مشتمل ہے، مثال کے طور پر، hardfork.php، hardfind.php، x.php، وغیرہ)۔ ایک بار عمل میں آنے کے بعد، پی ایچ پی کوڈ /wp-admin/admin-ajax.php اور /wp-includes/user.php فائلوں میں بیک ڈور کا اضافہ کرتا ہے، جس سے حملہ آوروں کو سائٹ ایڈمنسٹریٹر انٹرفیس تک رسائی مل جاتی ہے۔ فائل "wp-file-manager/lib/php/connector.minimal.php" پر پوسٹ کی درخواست بھیج کر آپریشن کیا جاتا ہے۔
یہ بات قابل ذکر ہے کہ ہیک کے بعد، بیک ڈور چھوڑنے کے علاوہ، مزید کالوں کو محفوظ رکھنے کے لیے connector.minimal.php فائل میں تبدیلیاں کی جاتی ہیں، جس میں خطرات موجود ہیں، تاکہ دوسرے حملہ آوروں کے سرور پر حملہ کرنے کے امکان کو روکا جا سکے۔
پہلی حملے کی کوششوں کا پتہ 1 ستمبر کو صبح 7 بجے (UTC) پر پایا گیا۔ میں
12:33 (UTC) فائل مینیجر پلگ ان کے ڈویلپرز نے ایک پیچ جاری کیا ہے۔ Wordfence کمپنی کے مطابق جس نے خطرے کی نشاندہی کی، ان کی فائر وال نے روزانہ اس خطرے سے فائدہ اٹھانے کی تقریباً 450 ہزار کوششوں کو روک دیا۔ ایک نیٹ ورک اسکین سے پتہ چلتا ہے کہ اس پلگ ان کا استعمال کرنے والی 52% سائٹس ابھی تک اپ ڈیٹ نہیں ہوئی ہیں اور کمزور ہیں۔ اپ ڈیٹ انسٹال کرنے کے بعد، "connector.minimal.php" اسکرپٹ پر کال کرنے کے لیے HTTP سرور لاگ کو چیک کرنا سمجھ میں آتا ہے تاکہ یہ معلوم کیا جا سکے کہ آیا سسٹم سے سمجھوتہ کیا گیا ہے۔
مزید برآں، آپ اصلاحی ریلیز کو نوٹ کر سکتے ہیں۔ جس نے تجویز کیا .
ماخذ: opennet.ru