Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок


В WordPress-плагине File Manager, насчитывающем более 700 тысяч активных установок, выявлена уязвимость, позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager с 6.0 по 6.8 и устранена в выпуске 6.9.

Плагин File Manager предоставляет инструменты для управления файлами для администратора WordPress, используя для низкоуровневых манипуляций с файлами входящую в состав библиотеку elFinder. В исходном коде библиотеки elFinder присутствуют файлы с примерами кода, которые поставляются в рабочем каталоге с расширением ".dist". Уязвимость вызвана тем, что при поставке библиотеки файл "connector.minimal.php.dist" был переименован в "connector.minimal.php" и стал доступен для выполнения при отправке внешних запросов. Указанный скрипт позволяет выполнить любые операции с файлами (upload, open, editor, rename, rm и т.п.), так как его параметры передаются в функцию run() основного плагина, что может использоваться для замены PHP-файлов в WordPress и запуска произвольного кода.

Опасность усугубляет то, что уязвимость уже используется для совершения автоматизированных атак, в ходе которых в каталог "plugins/wp-file-manager/lib/files/" при помощи команды "upload" загружается изображение, содержащее PHP-код, которое затем переименовывается в PHP-скрипт, имя которого выбирается случайно и содержит текст "hard" или "x.", например, hardfork.php, hardfind.php, x.php и т.п.). После запуска PHP-код добавляет бэкдор в файлы /wp-admin/admin-ajax.php и /wp-includes/user.php, предоставляющий злоумышленникам доступ в интерфейс администратора сайта. Эксплуатация осуществляется через отправку POST-запроса к файлу "wp-file-manager/lib/php/connector.minimal.php".

Примечательно, что после взлома кроме оставления бэкдора вносятся изменения для защиты дальнейших обращений к файлу connector.minimal.php, в котором содержится уязвимость, с целью блокирования возможности атаки на сервер другими злоумышленниками. Первые попытки атаки были выявлены 1 сентября в 7 утра (UTC). В 12:33 (UTC) разработчики плагина File Manager выпустили патч. По данным выявившей уязвимость компании Wordfence за день их межсетевой экран заблокировал около 450 тысяч попыток эксплуатации уязвимости. Сканирование сети показало, что 52% сайтов, использующих данный плагин ещё не произвели обновление и остаются уязвимыми. После установки обновления имеет смысл проверить в логе http-сервера обращения к скрипту "connector.minimal.php" для определения факта компрометации системы.

Дополнительно можно отметить корректирующий выпуск WordPress 5.5.1 в котором предложено 40 исправлений.

Источник: https://www.opennet.ru/opennews/art.shtml?num=53646


Comments 0