Der Nachteil ist der File Manager, ein Plugin mit mehr als 700.000 Benutzern, 52% von ihnen leiden darunter.
Hacker nutzen aktiv eine Schwachstelle aus, die es ihnen erlaubt, Befehle und bösartige Skripte auf Websites auszuführen, auf denen File Manager läuft, ein WordPress-Plugin mit mehr als 700.000 aktiven Installationen, sagten Forscher am Dienstag. Die Nachricht von den Angriffen kam einige Stunden nachdem die Sicherheitslücke gepatcht wurde.
Die Angreifer nutzen den Exploit, um Dateien hochzuladen, die Webshells enthalten, die in einem Bild versteckt sind. Von dort aus verfügen sie über eine bequeme Schnittstelle, die es ihnen erlaubt, Befehle in plugins/wp-file-manager/lib/files/ auszuführen, dem Verzeichnis, in dem sich das Dateimanager-Plugin befindet. Während diese Beschränkung Hacker daran hindert, Befehle auf Dateien außerhalb des Verzeichnisses auszuführen, können Hacker möglicherweise mehr Schaden anrichten, indem sie Skripte hochladen, die Aktionen auf anderen Teilen einer anfälligen Site ausführen können.
NinTechNet, eine Website-Sicherheitsfirma in Bangkok, Thailand, gehörte zu den ersten, die über die „in-the-wild“-Angriffe berichteten. In dem Beitrag hieß es, dass ein Hacker die Schwachstelle ausnutzte, um ein Skript mit dem Titel hardfork.php hochzuladen und es dann dazu benutzte, Code in die WordPress-Skripte /wp-admin/admin-ajax.php und /wp-includes/user.php einzufügen.
Backdooring anfälliger Sites in großem Maßstab
In einer E-Mail schrieb Jerome Bruandet, CEO von NinTechNet:
Es ist noch etwas zu früh, um die Auswirkungen zu kennen, denn als wir den Angriff abfingen, versuchten Hacker nur, Websites zu hintertürmen. Eine interessante Sache, die uns jedoch auffiel, ist, dass Angreifer einen Code einführten, um den Zugriff auf die anfällige Datei
connector.minimal.phpmit einem Passwort zu schützen, so dass andere Hackergruppen die Sicherheitslücke auf den bereits infizierten Websites nicht ausnutzen konnten.Alle Befehle können im Ordner /lib/files ausgeführt werden (Ordner erstellen, Dateien löschen usw.), aber das Wichtigste ist, dass sie auch PHP-Skripte in diesen Ordner hochladen können, um sie dann auszuführen und mit dem Blog zu tun, was immer sie wollen.
Bis jetzt laden sie „FilesMan“ hoch, einen weiteren Dateimanager, der oft von Hackern benutzt wird. Dieser ist stark verschleiert. In den nächsten Stunden und Tagen werden wir genau sehen, was sie tun werden, denn wenn sie die anfällige Datei mit einem Passwort geschützt haben, um andere Hacker daran zu hindern, die Schwachstelle auszunutzen, ist es wahrscheinlich, dass sie erwarten, die infizierten Websites erneut zu besuchen.
Die befreundete Website-Sicherheitsfirma Wordfence sagte unterdessen in einem eigenen Posting, dass sie in den vergangenen Tagen mehr als 450.000 Exploit-Versuche blockiert habe. In dem Beitrag hieß es, dass die Angreifer versuchen, verschiedene Dateien zu injizieren. In einigen Fällen seien diese Dateien leer gewesen, höchstwahrscheinlich in dem Versuch, nach anfälligen Sites zu suchen und, wenn sie erfolgreich waren, später eine bösartige Datei zu injizieren. Die hochgeladenen Dateien trugen Namen wie hardfork.php, hardfind.php und x.php.
„Ein Dateimanager-Plugin wie dieses würde es einem Angreifer ermöglichen, beliebige Dateien seiner Wahl direkt vom WordPress-Dashboard aus zu manipulieren oder hochzuladen, was es ihm möglicherweise erlauben würde, seine Privilegien zu erweitern, sobald er einmal im Admin-Bereich der Website ist“, schrieb Chloe Chamberland, eine Forscherin der Sicherheitsfirma Wordfence, in ihrem Beitrag vom Dienstag. „Zum Beispiel könnte sich ein Angreifer mit einem kompromittierten Passwort Zugang zum Admin-Bereich der Website verschaffen, dann auf dieses Plugin zugreifen und eine Web-Shell hochladen, um eine weitere Aufzählung des Servers vorzunehmen und seinen Angriff möglicherweise mit einem weiteren Exploit zu eskalieren.
52% von 700.000 = Potenzial für Schaden
Das Dateimanager-Plugin hilft Administratoren bei der Verwaltung von Dateien auf Websites, auf denen das Content-Management-System WordPress läuft. Das Plugin enthält einen zusätzlichen Dateimanager, bekannt als elFinder, eine Open-Source-Bibliothek, die die Kernfunktionalität des Plugins bereitstellt, sowie eine Benutzerschnittstelle für die Verwendung des Plugins. Die Schwachstelle ergibt sich aus der Art und Weise, wie das Plugin elFinder implementiert hat.
„Der Kern des Problems begann damit, dass das Dateimanager-Plugin die Erweiterung auf der Datei connector.minimal.php.dist der elFinder-Bibliothek in .php umbenannte, so dass sie direkt ausgeführt werden konnte, obwohl die Connector-Datei nicht vom Dateimanager selbst verwendet wurde“, erklärte Chamberland. „Solche Bibliotheken enthalten oft Beispieldateien, die nicht dazu bestimmt sind, ’so wie sie sind‘ ohne zusätzliche Zugriffskontrollen verwendet zu werden, und diese Datei hatte keine direkten Zugriffsbeschränkungen, was bedeutet, dass jeder auf die Datei zugreifen konnte. Diese Datei konnte verwendet werden, um einen elFinder-Befehl zu initiieren und war mit der Datei elFinderConnector.class.php verbunden.
Sal Aguilar, ein Auftragnehmer, der WordPress-Sites einrichtet und sichert, ging zu Twitter, um vor Angriffen zu warnen, die er sieht.
Die Sicherheitslücke liegt in den Datei-Manager-Versionen von 6.0 bis 6.8.Statistiken von WordPress zeigen, dass derzeit etwa 52 Prozent der Installationen anfällig sind. Da mehr als die Hälfte der installierten File Manager-Basis von 700.000 Sites anfällig ist, ist das Schadenspotential hoch. Sites, auf denen eine dieser Versionen läuft, sollten so bald wie möglich auf 6.9 aktualisiert werden.
