Różności i nowinki technologia

Hakerzy wykorzystują krytyczną lukę w ponad 350 000 witryn WordPress

Logo WordPress w różnych kolorach.

Hakerzy aktywnie wykorzystują lukę, która pozwala im wykonywać polecenia i złośliwe skrypty w witrynach internetowych z Menedżerem plików, wtyczką WordPress z ponad 700 000 aktywnych instalacji – poinformowali we wtorek badacze. Wiadomość o atakach nadeszła kilka godzin po załataniu luki w zabezpieczeniach.

Atakujący używają exploita do przesyłania plików zawierających elementy webshell, które są ukryte w obrazie. Stamtąd mają wygodny interfejs, który pozwala im uruchamiać polecenia w plugins / wp-file-manager / lib / files /, katalogu, w którym znajduje się wtyczka File Manager. Chociaż to ograniczenie uniemożliwia hakerom wykonywanie poleceń na plikach poza katalogiem, hakerzy mogą wyrządzić więcej szkód, przesyłając skrypty, które mogą wykonywać działania w innych częściach podatnej witryny.

NinTechNet, firma zajmująca się bezpieczeństwem witryn internetowych z Bangkoku w Tajlandii, była jedną z pierwszych, które zgłosiły ataki na wolności. W poście napisano, że haker wykorzystał lukę, aby przesłać skrypt o nazwie hardfork.php, a następnie użyć go do wstrzyknięcia kodu do skryptów WordPress /wp-admin/admin-ajax.php i /wp-includes/user.php.

Wprowadzanie na dużą skalę witryn podatnych na ataki typu backdoor

W e-mailu dyrektor generalny NinTechNet Jerome Bruandet napisał:

Jest trochę za wcześnie, aby poznać skutki, ponieważ kiedy złapaliśmy atak, hakerzy próbowali tylko włamać się do witryn internetowych. Jednak jedną interesującą rzeczą, którą zauważyliśmy, jest to, że atakujący wstrzykiwali kod zabezpieczający hasłem dostęp do podatnego pliku (connector.minimal.php), aby inne grupy hakerów nie mogły wykorzystać luki w witrynach, które zostały już zainfekowane.

Wszystkie polecenia można uruchamiać w folderze / lib / files (tworzyć foldery, usuwać pliki itp.), Ale najważniejszą kwestią jest to, że mogą one również przesyłać skrypty PHP do tego folderu, a następnie uruchamiać je i robić, co chcą na blogu .

Jak dotąd przesyłają “FilesMan”, inny menedżer plików często używany przez hakerów. Ten jest mocno zaciemniony. W ciągu najbliższych kilku godzin i dni zobaczymy dokładnie, co zrobią, ponieważ jeśli zabezpieczyli hasłem plik z luką, aby uniemożliwić innym hakerom wykorzystanie luki, prawdopodobnie spodziewają się powrotu do zainfekowanych witryn.

W międzyczasie firma Wordfence, zajmująca się bezpieczeństwem witryn internetowych, powiedziała we własnym poście, że w ciągu ostatnich kilku dni zablokowała ponad 450 000 prób exploitów. W poście napisano, że osoby atakujące próbują wstrzyknąć różne pliki. W niektórych przypadkach te pliki były puste, najprawdopodobniej w celu wyszukania podatnych stron i, jeśli się powiedzie, później wstrzykną złośliwy plik. Przesyłane pliki miały nazwy, w tym hardfork.php, hardfind.php i x.php.

„Wtyczka do menedżera plików, taka jak ta, umożliwiłaby atakującemu manipulowanie lub przesyłanie dowolnych plików, które wybrał bezpośrednio z pulpitu WordPress, potencjalnie umożliwiając im eskalację uprawnień w obszarze administracyjnym witryny”, Chloe Chamberland, badaczka z bezpieczeństwem firma Wordfence, napisała we wtorkowym poście. „Na przykład osoba atakująca może uzyskać dostęp do obszaru administracyjnego witryny za pomocą złamanego hasła, a następnie uzyskać dostęp do tej wtyczki i załadować powłokę sieciową w celu dalszego wyliczenia serwera i potencjalnie eskalacji ataku przy użyciu innego exploita”.

52% z 700 000 = możliwość uszkodzenia

Wtyczka Menedżer plików pomaga administratorom zarządzać plikami w witrynach, w których działa system zarządzania treścią WordPress. Wtyczka zawiera dodatkowy menedżer plików znany jako elFinder, bibliotekę open source, która zapewnia podstawowe funkcje wtyczki wraz z interfejsem użytkownika do korzystania z niej. Luka wynika ze sposobu, w jaki wtyczka zaimplementowała elFinder.

„Sedno problemu zaczęło się od zmiany nazwy rozszerzenia w bibliotece elFinder przez wtyczkę Menedżera plików connector.minimal.php.dist do .php, aby można było go uruchomić bezpośrednio, nawet jeśli plik łącznika nie był używany przez samego menedżera plików “, wyjaśnia Chamberland.” Takie biblioteki często zawierają przykładowe pliki, które nie są przeznaczone do użycia w stanie, w jakim się znajdują, bez dodawania dostępu kontrolki, a ten plik nie miał bezpośrednich ograniczeń dostępu, co oznacza, że ​​każdy mógł uzyskać do niego dostęp. Ten plik mógł zostać użyty do zainicjowania polecenia elFinder i został podłączony do elFinderConnector.class.php plik.”

Sal Aguilar, kontrahent, który zakłada i zabezpiecza strony WordPress, zabrał do Twittera aby ostrzec przed atakami, które widzi.

“O kurcze!!!” on napisał. „Luka w zabezpieczeniach WP File Manager jest POWAŻNA. Rozprzestrzenia się szybko i widzę, że setki witryn są infekowane. Złośliwe oprogramowanie jest przesyłane do / wp-content / plugins / wp-file-manager / lib / files.”

Luka w zabezpieczeniach występuje w wersjach Menedżera plików od 6.0 do 6.8. Statystyki z WordPress pokazują, że obecnie około 52 procent instalacji jest podatnych na ataki. Ponieważ ponad połowa zainstalowanej bazy 700 000 witryn File Manager jest podatna na ataki, potencjalne szkody są wysokie. Witryny korzystające z którejkolwiek z tych wersji powinny zostać zaktualizowane do wersji 6.9 tak szybko, jak to możliwe.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook