Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок
2 сентября 2020 года
В WordPress-плагине File Manager, насчитывающем более 700 тысяч активных установок, выявлена уязвимость, позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager с 6.0 по 6.8 и устранена в выпуске 6.9.
Плагин File Manager предоставляет инструменты для управления файлами для администратора WordPress, используя для низкоуровневых манипуляций с файлами входящую в состав библиотеку elFinder. В исходном коде библиотеки elFinder присутствуют файлы с примерами кода, которые поставляются в рабочем каталоге с расширением ".dist". Уязвимость вызвана тем, что при поставке библиотеки файл "connector.minimal.php.dist" был переименован в "connector.minimal.php" и стал доступен для выполнения при отправке внешних запросов. Указанный скрипт позволяет выполнить любые операции с файлами (upload, open, editor, rename, rm и т.п.), так как его параметры передаются в функцию run() основного плагина, что может использоваться для замены PHP-файлов в WordPress и запуска произвольного кода.
Опасность усугубляет то, что уязвимость уже используется для совершения автоматизированных атак, в ходе которых в каталог "plugins/wp-file-manager/lib/files/" при помощи команды "upload" загружается изображение, содержащее PHP-код, которое затем переименовывается в PHP-скрипт, имя которого выбирается случайно и содержит текст "hard" или "x.", например, hardfork.php, hardfind.php, x.php и т.п.). После запуска PHP-код добавляет бэкдор в файлы /wp-admin/admin-ajax.php и /wp-includes/user.php, предоставляющий злоумышленникам доступ в интерфейс администратора сайта. Эксплуатация осуществляется через отправку POST-запроса к файлу "wp-file-manager/lib/php/connector.minimal.php".
Примечательно, что после взлома кроме оставления бэкдора вносятся изменения для защиты дальнейших обращений к файлу connector.minimal.php, в котором содержится уязвимость, с целью блокирования возможности атаки на сервер другими злоумышленниками. Первые попытки атаки были выявлены 1 сентября в 7 утра (UTC). В 12:33 (UTC) разработчики плагина File Manager выпустили патч. По данным выявившей уязвимость компании Wordfence за день их межсетевой экран заблокировал около 450 тысяч попыток эксплуатации уязвимости. Сканирование сети показало, что 52% сайтов, использующих данный плагин ещё не произвели обновление и остаются уязвимыми. После установки обновления имеет смысл проверить в логе http-сервера обращения к скрипту "connector.minimal.php" для определения факта компрометации системы.
Дополнительно можно отметить корректирующий выпуск WordPress 5.5.1 в котором предложено 40 исправлений.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.