Los hackers están explotando activamente una vulnerabilidad que les permite ejecutar comandos y scripts maliciosos en sitios web que ejecutan File Manager, un plugin de WordPress con más de 700.000 instalaciones activas, dijeron los investigadores el martes. La noticia de los ataques llegó unas horas después de que la falla de seguridad fuera reparada.
Los atacantes están usando el exploit para subir archivos que contienen webhells que están escondidos en una imagen. Desde allí, tienen una conveniente interfaz que les permite ejecutar comandos en los plugins/wp-file-manager/lib/files/, el directorio donde reside el plugin File Manager. Si bien esa restricción impide a los hackers ejecutar comandos en archivos fuera del directorio, los hackers pueden ser capaces de causar más daño cargando scripts que pueden llevar a cabo acciones en otras partes de un sitio vulnerable.
NinTechNet, una empresa de seguridad de sitios web de Bangkok (Tailandia), fue una de las primeras en informar sobre los ataques in-the-wild. En el post se decía que un pirata informático estaba explotando la vulnerabilidad para subir un script titulado hardfork.php y luego utilizarlo para inyectar código en los scripts de WordPress /wp-admin/admin-ajax.php y /wp-includes/user.php.
Backdooring de sitios vulnerables a escala
En un correo electrónico, el CEO de NinTechNet, Jerome Bruandet, escribió:
Es un poco pronto para saber el impacto, porque cuando atrapamos el ataque, los hackers sólo intentaban hacer sitios web de puerta trasera. Sin embargo, una cosa interesante que notamos es que los atacantes estaban inyectando algún código para proteger el acceso al archivo vulnerable (connector.minimal.php) para que otros grupos de hackers no pudieran explotar la vulnerabilidad en los sitios que ya estaban infectados.Todos los comandos pueden ser ejecutados en la carpeta /lib/files (crear carpetas, borrar archivos, etc.), pero lo más importante es que pueden subir scripts PHP en esa carpeta también, y luego ejecutarlos y hacer lo que quieran en el blog.
Hasta ahora, están subiendo «FilesMan», otro gestor de archivos usado a menudo por los hackers. Este está muy ofuscado. En las próximas horas y días veremos exactamente lo que harán, porque si protegieron el archivo vulnerable con una contraseña para evitar que otros hackers exploten la vulnerabilidad, es probable que esperen volver a visitar los sitios infectados.
La empresa de seguridad de sitios web Wordfence, por su parte, dijo en su propio post que había bloqueado más de 450.000 intentos de explotación en los últimos días. El post decía que los atacantes están tratando de inyectar varios archivos. En algunos casos, esos archivos estaban vacíos, muy probablemente en un intento de sondear sitios vulnerables y, si tenían éxito, inyectar un archivo malicioso más tarde. Los archivos que se subían tenían nombres como hardfork.php, hardfind.php y x.php.
«Un plugin de gestión de archivos como este haría posible que un atacante manipulara o subiera cualquier archivo de su elección directamente desde el panel de control de WordPress, permitiéndole potencialmente escalar privilegios una vez en el área de administración del sitio», escribió Chloe Chamberland, una investigadora de la firma de seguridad Wordfence, en el post del martes. «Por ejemplo, un atacante podría acceder al área de administración del sitio usando una contraseña comprometida, y luego acceder a este plugin y subir un webhell para hacer una enumeración más detallada del servidor y potencialmente escalar su ataque usando otro exploit».
52% de 700.000 = potencial de daño
El plugin File Manager ayuda a los administradores a gestionar los archivos de los sitios que ejecutan el sistema de gestión de contenidos de WordPress. El plugin contiene un gestor de archivos adicional conocido como elFinder, una biblioteca de código abierto que proporciona la funcionalidad principal del plugin, junto con una interfaz de usuario para utilizarlo. La vulnerabilidad surge de la forma en que el plugin implementó elFinder.
«El núcleo del problema comenzó con el plugin del Gestor de Archivos renombrando la extensión del archivo conector.minimal.php.dist
de la biblioteca de elFinder a .php para que pudiera ser ejecutado directamente, aunque el archivo conector no fuera utilizado por el propio Gestor de Archivos», explicó Chamberland. «Esas bibliotecas suelen incluir archivos de ejemplo que no están pensados para ser utilizados ‘tal cual’ sin añadir controles de acceso, y este archivo no tenía restricciones de acceso directo, lo que significa que cualquiera podía acceder al archivo. Este archivo podía utilizarse para iniciar un comando de elFinder y estaba enganchado al archivo elFinderConnector.class.php».
Sal Aguilar, un contratista que crea y asegura los sitios de WordPress, se metió en Twitter para advertir de los ataques que está viendo.
El fallo de seguridad está en las versiones del Administrador de Archivos que van de la 6.0 a la 6.8. Las estadísticas de WordPress muestran que actualmente cerca del 52 por ciento de las instalaciones son vulnerables. Con más de la mitad de la base instalada del Administrador de Archivos de 700.000 sitios vulnerables, el potencial de daño es alto. Los sitios que ejecutan cualquiera de estas versiones deben actualizarse a 6.9 tan pronto como sea posible.