研究人員在星期二說,黑客正在積極利用一個漏洞,該漏洞使他們能夠在運行File Manager的網站上執行命令和惡意腳本, File Manager是一個WordPress插件,活躍安裝量超過70萬。在修補了安全漏洞後的幾個小時,就發出了攻擊的消息。

攻擊者正在利用此漏洞上傳包含隱藏在映像中的Web Shell的文件。從那裡,他們有一個方便的界面,使他們可以在plugins / wp-file-manager / lib / files /(文件管理器插件所在的目錄)中運行命令。儘管該限制阻止了黑客在目錄之外的文件上執行命令,但是黑客可以通過上載腳本來對更多的損害,這些腳本可以對易受攻擊的站點的其他部分執行操作。

位於泰國曼谷的網站安全公司NinTechNet是最早報告這種野蠻攻擊的公司之一。帖子說,黑客正在利用此漏洞上傳名為hardfork.php的腳本,然後使用該漏洞將代碼注入WordPress腳本/wp-admin/admin-ajax.php和/wp-includes/user.php。

大規模將後備漏洞後門

NinTechNet首席執行官Jerome Bruandet在電子郵件中寫道:

現在知道影響還為時過早,因為當我們捕獲到攻擊時,黑客只是試圖對網站進行後門。但是,我們注意到的一件有趣的事情是,攻擊者正在註入一些代碼以密碼保護對易受攻擊的文件(connector.minimal.php)的訪問,從而使其他黑客集團無法利用已感染站點上的漏洞。

所有命令都可以在/ lib / files文件夾中運行(創建文件夾,刪除文件等),但是最重要的問題是它們也可以將PHP腳本上傳到該文件夾中,然後運行它們並對博客進行任何操作。

到目前為止,他們正在上傳“ FilesMan”,這是黑客經常使用的另一個文件管理器。這被嚴重混淆。在接下來的幾小時和幾天內,我們將確切地看到它們將要做什麼,因為如果他們用密碼保護了易受攻擊的文件以防止其他黑客利用此漏洞,則他們很可能希望再次訪問受感染的站點。

同時,網站安全公司Wordfence在其自己的帖子中表示,在過去幾天中,它已阻止了超過450,000次利用漏洞的嘗試。該帖子說,攻擊者正試圖注入各種文件。在某些情況下,這些文件為空,最有可能是試圖檢測易受攻擊的站點,如果成功,則稍後再注入惡意文件。正在上傳的文件的名稱包括hardfork.php,hardfind.php和x.php。

“這樣的文件管理器插件將使攻擊者可以直接從WordPress儀表板操縱或上傳他們選擇的任何文件,從而有可能使他們一旦進入站點的管理區域就可以提升特權,”安全研究人員Chloe Chamberland公司Wordfence,在周二的帖子中寫道。 “例如,攻擊者可以使用洩露的密碼來訪問站點的管理區域,然後訪問此插件並上傳Webshel​​l來進一步枚舉服務器,並有可能使用其他漏洞利用來升級其攻擊。”

700,000的52%=潛在損壞

文件管理器插件可幫助管理員管理運行WordPress內容管理系統的網站上的文件。該插件包含一個名為elFinder的附加文件管理器,這是一個開放源代碼庫,提供了插件的核心功能,以及用於使用該插件的用戶界面。該漏洞源自插件實現elFinder的方式。

“問題的核心始於文件管理器插件,將elFinder庫的connector.minimal.php.dist文件的擴展名重命名為.php,因此即使文件管理器本身未使用連接器文件,也可以直接執行擴展名”。 “此類庫通常包含不按原樣使用而未添加訪問控制的示例文件,並且此文件沒有直接訪問限制,這意味著該文件可以被任何人訪問。該文件可用於啟動elFinder命令,並已連接到elFinderConnector.class.php文件。”

File Manager的開發人員將安全性公司Seravo的研究員Ville Korhonen歸功於發現並首先報告了該漏洞。研究人員說,他們發現漏洞是其常規的“ WordPress維護服務”的一部分,他們在此處發表了自己的文章。

負責建立和保護WordPress網站的承包商Sal Aguilar前往Twitter警告他所見的攻擊。

“哦,廢話!!”他寫了。 “ WP File Manager漏洞非常嚴重。它正在迅速傳播,我看到數百個站點受到感染。惡意軟件正在上載到/ wp-content / plugins / wp-file-manager / lib / files。”

該安全漏洞存在於文件管理器版本,範圍從6.0到6.8。 WordPress的統計數據表明,目前約有52%的安裝易受攻擊。由於File Manager的700,000個站點中已安裝的漏洞中有一半以上,因此損壞的可能性很高。運行任何這些版本的網站都應盡快更新到6.9

更新以添加倒數第二段。

Source: arstechnica.com