Исследователи заявили, что хакеры активно используют уязвимость, которая позволяет им выполнять команды и вредоносные сценарии на веб-сайтах, на которых установлен и работает File Manager, плагин для WordPress с более 700 000 активных установок. Информация об атаках пришла через несколько часов после того, как брешь в системе управления сайтом была исправлена.
Злоумышленники используют эксплойт для загрузки файлов, содержащих веб-оболочки, скрытые в изображении. Оттуда у них есть удобный интерфейс, который позволяет им запускать команды в plugins/wp-file-manager/lib/files/, каталоге, где находится плагин File Manager. Хотя это ограничение не позволяет хакерам выполнять команды над файлами вне каталога, хакеры могут нанести еще больший ущерб, загрузив скрипты, которые могут выполнять действия в других частях уязвимого сайта.
NinTechNet, фирма по обеспечению безопасности веб-сайтов из Бангкока, Таиланд, была одной из первых, кто сообщил об атаках в дикой природе. В сообщении говорилось, что хакер использовал уязвимость для загрузки скрипта под названием hardfork.php, а затем использовал его для внедрения кода в скрипты WordPress /wp-admin/admin-ajax.php и /wp-includes/user.php.
Еще слишком рано говорить о последствиях, потому что, когда мы поймали атаку, хакеры просто пытались взломать веб-сайты. Однако мы заметили одну интересную вещь: злоумышленники вводили код для защиты паролем доступа к уязвимому файлу (connector.minimal.php), чтобы другие группы хакеров не могли воспользоваться уязвимостью на уже зараженных сайтах.
Все команды можно запускать в папке /lib/files (создавать папки, удалять файлы и т. Д.), Но самая важная проблема заключается в том, что они также могут загружать скрипты PHP в эту папку, а затем запускать их и делать в блоге все, что они хотят.
Пока что они загружают «FilesMan», еще один файловый менеджер, который часто используют хакеры. Этот сильно запутан. В ближайшие несколько часов и дней мы точно увидим, что они будут делать, потому что, если они защищают уязвимый файл паролем, чтобы предотвратить использование уязвимости другими хакерами, вероятно, они ожидают, что они снова вернутся, чтобы посетить зараженные сайты.
Между тем, его коллега по безопасности сообщила в своем собственном посте, что за последние несколько дней она заблокировала более 450 000 попыток использования уязвимостей. В сообщении говорилось, что злоумышленники пытаются внедрить различные файлы. В некоторых случаях эти файлы были пустыми, скорее всего, при попытке исследовать уязвимые сайты и, в случае успеха, позже внедрить вредоносный файл. Загружаемые файлы имели имена, включая hardfork.php, hardfind.php и x.php.
Плагин файлового менеджера, подобный этому, позволит злоумышленнику манипулировать или загружать любые файлы по своему выбору прямо из панели управления WordPress, потенциально позволяя им повышать привилегии сразу в административной области сайта. Например, злоумышленник может получить доступ к админке сайта, используя скомпрометированный пароль, затем получить доступ к этому плагину и загрузить веб-оболочку, чтобы выполнить дальнейшее перечисление сервера и потенциально усилить свою атаку с помощью другого эксплойта.
Плагин File Manager помогает администраторам управлять файлами на сайтах, на которых работает система управления контентом WordPress. Плагин содержит дополнительный файловый менеджер, известный как elFinder, библиотека с открытым исходным кодом, которая обеспечивает основные функции плагина, а также пользовательский интерфейс для его использования. Уязвимость возникает из-за того, как плагин реализовал elFinder.
Суть проблемы началась с того, что плагин File Manager переименовал расширение файла библиотеки elFinder connector.minimal.php.dist в .php, чтобы его можно было запускать напрямую, даже если файл коннектора не использовался самим файловым менеджером. Такие библиотеки часто включают файлы примеров, которые не предназначены для использования« как есть без добавления элементов управления доступом, и этот файл не имеет прямых ограничений доступа, что означает, что к файлу может получить доступ кто угодно. Этот файл может использоваться для запуска elFinder команда и была подключена к elFinderConnector.class.php файлу.
Недостаток безопасности есть в версиях плагина File Manager от 6.0 до 6.8. Статистика WordPress показывает, что в настоящее время уязвимы около 52 процентов установок. Поскольку более половины установленной базы File Manager, насчитывающей 700 000 сайтов, уязвимы, вероятность повреждения высока. Сайты с любой из этих версий должны как можно скорее обновиться до 6.9.
Разместить сайт под управлением WordPress на надёжном сервере
Вы можете разместить свой сайт под управлением CMS WordPress на виртуальных серверах МАРС Телеком. Наши специалисты подберут и предоставят необходимые мощности под Вашу конкретную задачу. Сервера размещаются в отказоустойчивых дата-центрах класса TierIII.