Недостатком является File Manager, плагин с более чем 700,000 пользователей, 52% из них страдают.
Хакеры активно используют уязвимость, которая позволяет им выполнять команды и вредоносные скрипты на сайтах, на которых запущен File Manager, плагин WordPress с более чем 700 000 активных установок, сообщили во вторник исследователи. Информация об атаках появилась через несколько часов после того, как был исправлен дефект безопасности.
Злоумышленники используют эксплойт для загрузки файлов, содержащих web shell, которые скрыты в образе. Оттуда у них есть удобный интерфейс, который позволяет им выполнять команды в plugins/wp-file-manager/lib/files/, в каталоге, где находится плагин File Manager. Хотя это ограничение не позволяет хакерам выполнять команды на файлах вне каталога, хакеры могут быть в состоянии точнее определить повреждения, загружая скрипты, которые могут выполнять действия на других частях уязвимого сайта.
NinTechNet, фирма, занимающаяся безопасностью веб-сайтов в Бангкоке, Таиланд, одной из первых сообщила о нападениях в дикой природе. В посте говорилось, что хакер использует уязвимость для загрузки скрипта под названием hardfork.php, а затем использует его для вставки кода в скрипты WordPress /wp-admin/admin-ajax.php и /wp-includes/user.php.
Бэкдоринг уязвимых сайтов в масштабе
По электронной почте генеральный директор NinTechNet Джером Бруандет написал:
Слишком рано говорить о последствиях, потому что когда мы поймали атаку, хакеры просто пытались зайти на бэкдоры сайтов. Однако одна интересная вещь, которую мы заметили, заключалась в том, что злоумышленники впрыскивали какой-то код для парольной защиты доступа к уязвимому файлу
connector.minimal.php, чтобы другие группы хакеров не могли воспользоваться уязвимостью на уже зараженных сайтах.Все команды можно запускать в папке /lib/files (создавать папки, удалять файлы и т.д.), но самой важной проблемой является то, что они могут загружать PHP-скрипты и в эту папку, а затем запускать их и делать все, что угодно с блогом.
Пока они загружают «FilesMan», еще один файловый менеджер, часто используемый хакерами. Этот сильно запутан. В ближайшие несколько часов и дней мы увидим, что именно они будут делать, потому что если они защитят уязвимый файл паролем, чтобы другие хакеры не смогли воспользоваться уязвимостью, то, скорее всего, они ожидают, что вернутся и посетят зараженные сайты.
Между тем, сотрудник компании Wordfence, занимающейся вопросами безопасности веб-сайтов, в своем сообщении сообщил, что за последние несколько дней было заблокировано более 450 000 попыток взлома. В посте говорилось, что злоумышленники пытаются внедрить различные файлы. В некоторых случаях эти файлы были пустыми, скорее всего, в попытке обнаружить уязвимые сайты и, в случае успеха, впрыснуть вредоносный файл позже. Загружаемые файлы имели имена, включая hardfork.php, hardfind.php и x.php.
«Подобный плагин файлового менеджера позволит злоумышленнику манипулировать или загружать любые файлы по своему выбору прямо с панели управления WordPress, что потенциально позволит ему повысить свои привилегии, как только он окажется в зоне администрирования сайта», — написала Хлоя Чемберленд (Chloe Chamberland), исследователь из охранной фирмы Wordfence, во вторник в своем сообщении. «Например, злоумышленник может получить доступ к админ-зоне сайта с помощью взломанного пароля, затем получить доступ к этому плагину и загрузить веб-оболочку для выполнения дальнейшего перечисления сервера и потенциально повысить свою атаку с помощью другого эксплойта».
52% из 700 000 = потенциальный ущерб
Плагин File Manager помогает администраторам управлять файлами на сайтах, на которых работает система управления контентом WordPress. Плагин содержит дополнительный файловый менеджер, известный как elFinder, библиотеку с открытым исходным кодом, предоставляющую основную функциональность плагина, а также пользовательский интерфейс для его использования. Уязвимость возникает из-за того, как плагин реализовал elFinder.
«Ядро проблемы началось с того, что плагин File Manager переименовал расширение файла библиотеки elFinder connector.minimal.php.dist в .php, чтобы его можно было запускать напрямую, даже если файл коннектора не использовался самим файловым менеджером», — объяснил Чемберленд. «Такие библиотеки часто включают примеры файлов, которые не предназначены для использования «как есть» без добавления элементов управления доступом, и этот файл не имеет никаких ограничений прямого доступа, что означает, что к этому файлу может получить доступ кто угодно. Этот файл мог быть использован для инициализации команды elFinder и был подключен к файлу elFinderConnector.class.php».
Сэл Агилар, подрядчик, который устанавливает и защищает сайты WordPress, зашел в Twitter, чтобы предупредить об атаках, которые он видит.
Недостатком безопасности являются версии File Manager от 6.0 до 6.8. показывает, что в настоящее время около 52% инсталляций являются уязвимыми. Учитывая, что более половины установленной базы File Manager из 700 000 сайтов являются уязвимыми, вероятность ущерба высока. Сайты, работающие с любой из этих версий, должны быть обновлены до версии 6.9 как можно скорее.