The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в WordPress-плагине File Manager, имеющем 700 тысяч установок

02.09.2020 10:29

В WordPress-плагине File Manager, насчитывающем более 700 тысяч активных установок, выявлена уязвимость, позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager с 6.0 по 6.8 и устранена в выпуске 6.9.

Плагин File Manager предоставляет инструменты для управления файлами для администратора WordPress, используя для низкоуровневых манипуляций с файлами входящую в состав библиотеку elFinder. В исходном коде библиотеки elFinder присутствуют файлы с примерами кода, которые поставляются в рабочем каталоге с расширением ".dist". Уязвимость вызвана тем, что при поставке библиотеки файл "connector.minimal.php.dist" был переименован в "connector.minimal.php" и стал доступен для выполнения при отправке внешних запросов. Указанный скрипт позволяет выполнить любые операции с файлами (upload, open, editor, rename, rm и т.п.), так как его параметры передаются в функцию run() основного плагина, что может использоваться для замены PHP-файлов в WordPress и запуска произвольного кода.

Опасность усугубляет то, что уязвимость уже используется для совершения автоматизированных атак, в ходе которых в каталог "plugins/wp-file-manager/lib/files/" при помощи команды "upload" загружается изображение, содержащее PHP-код, которое затем переименовывается в PHP-скрипт, имя которого выбирается случайно и содержит текст "hard" или "x.", например, hardfork.php, hardfind.php, x.php и т.п.). После запуска PHP-код добавляет бэкдор в файлы /wp-admin/admin-ajax.php и /wp-includes/user.php, предоставляющий злоумышленникам доступ в интерфейс администратора сайта. Эксплуатация осуществляется через отправку POST-запроса к файлу "wp-file-manager/lib/php/connector.minimal.php".

Примечательно, что после взлома кроме оставления бэкдора вносятся изменения для защиты дальнейших обращений к файлу connector.minimal.php, в котором содержится уязвимость, с целью блокирования возможности атаки на сервер другими злоумышленниками. Первые попытки атаки были выявлены 1 сентября в 7 утра (UTC). В 12:33 (UTC) разработчики плагина File Manager выпустили патч. По данным выявившей уязвимость компании Wordfence за день их межсетевой экран заблокировал около 450 тысяч попыток эксплуатации уязвимости. Сканирование сети показало, что 52% сайтов, использующих данный плагин, ещё не произвели обновление и остаются уязвимыми. После установки обновления имеет смысл проверить в логе http-сервера обращения к скрипту "connector.minimal.php" для определения факта компрометации системы.

Дополнительно можно отметить корректирующий выпуск WordPress 5.5.1 в котором предложено 40 исправлений.

  1. Главная ссылка к новости (https://www.wordfence.com/blog...)
  2. OpenNews: Релиз системы управления web-контентом WordPress 5.5 с поддержкой автообновления плагинов
  3. OpenNews: Критическая уязвимость в WordPress-плагине wpDiscuz, насчитывающем 80 тысяч установок
  4. OpenNews: Создатели WordPress инвестировали $4.6 млн в компанию, развивающую Matrix-клиент Riot
  5. OpenNews: Уязвимости в WordPress-плагинах, имеющих более миллиона установок
  6. OpenNews: Критические уязвимости в WordPress-плагинах, имеющих более 400 тысяч установок
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53646-wordpress
Ключевые слова: wordpress
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, TormoZilla (?), 12:22, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Пишите свои движки.
     
     
  • 2.3, Аноним (3), 12:30, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Может, сразу Wt.
     
  • 2.4, КО (?), 12:40, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +19 +/
    Изобретайте ЯП с нуля, ага, ОС свои ставьте, интернет, давайте ещё параллельную вселенную заделаем
     
     
  • 3.9, Аноним (9), 13:48, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    гугля так и делает
     
  • 2.13, Аноним (13), 13:54, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Речь в новости не про движок а про плагин. Плагины делают васяны. Там из маркета можно установить плагин с 10 установок, который никто на уязвимости проверять не будет. Несколько раз держал вордпрессы и никто плагинами не пользовался, легко гуглится как сделать что-то без плагинов. Там форма обратной связи, генератор сайтмапа, кнопки для репостинга в соц сетки. Всё уже готовое есть и простое без плагинов.
     
     
  • 3.14, Аноним (13), 13:56, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да ещё читая логи на сервере можно видеть как за день тысячи ботов сканируют сайт на вот эти самые уязвимости в плагинах.
     
     
  • 4.28, Аноним (28), 18:50, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    нахрена кому-то это все говно сдалось?
     
     
  • 5.41, Аноним (41), 07:48, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Монетизировать же по-чёрному можно. Поставить майнеры, сливать и продавать часть трафика. Злоумышленник знает тонны способов. Там другое мышление, нужно быть в теме чтоб понимать как они это делают.
     
  • 2.15, Аноним (15), 13:58, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    смешно, но древние самописные сайты из 2000х до сих пор работают без какой-либо поддержки. это не значит конечно что там дыр нет, но лучше уж так чем автоматические вломы
     
     
  • 3.29, Аноним (28), 18:51, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Таких осталось 10 шутк во всем интернете. Приходя молодое прогрессивное поколение стразу ставит WordPress или Jommla и говорит о том что программисты больше не нужны, а потом по фриланс биржам шастает с вопросами как сделать поддержку более 1_000 клиентов в плагине и т.д.
     
     
  • 4.47, Аноним (47), 06:47, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как можно употреблять слова "молодое и прогрессивное" и "wordpress и Joomla" в одном предложении ))
     
  • 2.16, аноним12345 (?), 13:58, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Давно
     
  • 2.20, Аноним (20), 14:55, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://blogengine.ru
     
     
  • 3.23, Аноним (23), 15:48, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И зачем тут это кусок удобрения?
     
     
  • 4.30, Аноним (28), 18:51, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Где удобрение? Мне нужно для растений купить?
    А Вы не путайте гомно и удобрение!!!
     
  • 4.49, Michael Shigorin (ok), 15:58, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И зачем тут это кусок удобрения?

    Ну старается же человек, в соседней новости вон пытается на "сижку" хвост задирать...

     

  • 1.2, nebularia (ok), 12:24, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну как всегда
     
  • 1.8, Аноним (8), 13:29, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Никогда такого не было и вот снова :)
     
     
  • 2.11, Аноним (11), 13:50, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нигде такого не было, ага?


    А если раскрыть глаза, то можно увидеть что дыра:
    а) уже пофиксена
    б) не столько в плагине, сколько в скрипте с которого он форкнут. Но разраб плага конечно тоже виноват.

     
     
  • 3.27, Mark (??), 18:19, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Васян пишет плагин жопой, другие васяны ему доверяют. Всё по канонам WordPress.
     
     
  • 4.39, Онаним (?), 23:09, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А также npm и прочих овнорепозитариев, из которых делатели непроверяемого шлака тянут шлак от других писателей шлака, не проверяя.

    Да и композер туда же.

     

  • 1.10, Аноним (9), 13:49, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    вордхоул, дыропресс.
     
     
  • 2.12, Аноним (11), 13:51, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Дыры у тебя в глазах и голове. ВП-то тут причем?
     
     
  • 3.31, Аноним (28), 18:53, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Изначально поставили процесс неверно, а теперь результат.
    Впрочем в ИТ тоже кто-то должен совершать ошибки что бы потом было понятно
    зачем и почему за сайт требуют мидионы и дестяки милионов.
     
  • 3.34, Аноним (34), 19:18, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Пик тоталли рилейтед.
    http://0x0.st/iEhX.jpg
     
  • 3.46, Michael Shigorin (ok), 00:44, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ВП-то тут причем?

    Ну как бы почётный участник чемпионата, можно сказать, завсегдатай высшей лиги.  По дырам, правда.

     
  • 2.37, Аноним (20), 22:13, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Винтерхолд.
     

  • 1.17, Самый Лучший Гусь (?), 14:12, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну и юморина
     
  • 1.18, InuYasha (??), 14:51, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Когда граница между даными и инструкциями размыта, жди беды. А с вёбом всегда так было.
     
  • 1.19, ДмитрийСССР (?), 14:53, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А кто-то может объяснить такую популярность именно WordPress? Я смотрел его внутри, он убог же по самое не хочу, есть же другие CMS которые имеют более хорошую архитектуру, более понятную, и они так-же бесплатны и имеют плагины, почему именно WP?
     
     
  • 2.21, Аноним (21), 15:11, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Думаю потому, что либо в хостинг панели в один клик, либо в aws/etc в докере в один клик...
     
  • 2.22, Аноним (22), 15:18, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что в WP искаропки работает почти все, что нужно для простого нескучного сайта/бложика без всяких плагинов, виджетов и кодинга - это именно то, что нужно хомячку.
    В джумле и друпале чтобы просто базовый функционал получить приходится поплясать с бубном и поковыряться в php.
    В остальном эти три кита cms ничем друг от друга не отличаются - при необходимости выхода за пределы нескучного сайтика все требуют приложения головы и рук и все три дырявые и глючные.
     
     
  • 3.24, microsoft (?), 16:33, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что из не дырявых насоветуете?? Можно и не на пыхе писаные
     
     
  • 4.25, Аноним (25), 16:50, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Любой генератор статики, типа hugo/hexo. Дыр не будет по определению. Не всем подойдёт, конечно, но для стандартных задач, решаемых обычно вордпрессом, вполне.
     
  • 4.26, Аноним (26), 17:20, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Таковых в природе нет. Лопайте, что дают.
    Ну или ваяйте на православном html 1.0
     
  • 4.43, Аноним (20), 19:46, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Grav/Gantry5
     

  • 1.32, Аноним (32), 18:53, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Простенько сложили в кучу - ведь они ж не ошибаются.
    А изолировали бы в отдельное место и не было бы вопроса....

     
  • 1.33, Аноним (28), 18:55, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну нечего потому что на PHP нанимать школьников делать корпоротивные сайты. Специалисты до 20 - 30 лет изучают разные хитрые технологии и организуют корпорации и делают порталы за сотни тысяч, а тут какие-то смузихлебы решили перевернуть отрасль и что вышло... Только за последние 10 лет одни сообщения о ошибках утечках и дырках. Вот и результат когнда васяны закончив ПТУ лезут в инженерию.
     
  • 1.35, Аноним (35), 20:56, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-то, объясните пожалуйста в чём баг именно плагина? Ну позволяет он загрузить файл, ну имя там можно какое-то задать произвольное. Но это ж не в коде плагина exec('${fileNameFromQueryString}) условное зовётся?
     
     
  • 2.45, Аноним (45), 21:00, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Там насколько понимаю внедрение в admin-ajax происходит. А это что-то типа права рута в вордпрессе, через него например авторизация учётки админа происходит, который решает что установить, залить, где какой код поправить.
     

  • 1.36, Аноним (36), 21:03, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    700000 уязвимостей
     
  • 1.38, Аноним (20), 22:56, 02/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Был для пхп вроде модель Runkit_Sandbox который мог ограничивать физическое воздействие в неймспейсах.
     
     
  • 2.40, Онаним (?), 23:10, 02/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Физическое воздействие - это в смысле кувалдочкой по серверу?
    От этого вас никакой Runkit_Sandbox не спасёт, увы.
     

  • 1.42, Аноним (42), 09:13, 03/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Уже давно все используют BitrixVM и уязвимостей нет. ВП - прошлый век!
     
     
  • 2.44, Аноним (45), 20:56, 03/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вордпресс конечно старый, но домохозяйки его наворачивать не перестанут. Напротив, количество сайтов на вордпрессе только растёт, а хостинги автоматически устанавливают в 2 клика.
    Золотая жила для хацкеров.
     
     
  • 3.48, Аноним (20), 15:23, 04/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    HDD дисков скоро не хватит на все эти Wordpress
     
  • 2.50, Michael Shigorin (ok), 12:46, 07/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Уже давно все используют BitrixVM

    Шо, даже у вас на японщине в аниме-студии, интересующейся fheroes2? ;-]

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру