Μια ευπάθεια στο γνωστό wordpress plugin WP FileΜanager επιτρέπει σε κακόβουλους χρήστες να εκτελέσουν εντολές και κακόβουλα scripts απομακρυσμένα. Το plugin διαθέτει πάνω από 700.000 ενεργές εγκαταστάσεις, με το 52% των ιστοσελίδων να έχει επηρεαστεί.
Security Risk: Υψηλό
Exploitation Level: Εύκολο
Vulnerability: File upload
Patched Version: 6.9
Έκδοση που επηρεάζεται: 6.0-6.8
Την 01 Σεπτεμβρίου το δημοφιλές wordpress plugin File Manager αναβαθμίστηκε στην έκδοση 6.9 διορθώνοντας ένα κρίσιμο vulnerability, όπου επιτρέπει σε κάθε επισκέπτη να ανακτήσει πλήρη πρόσβαση σε μια ιστοσελίδα.
Η ευπάθεια προήλθε από υπολείμματα στο development περιβάλλον στην έκδοση 6.4 πριν από περίπου 4 μήνες, όπου ένα αρχείο μετονομάστηκε για να δοκιμαστούν ορισμένες δυνατότητες.
Το μετονομασμένο αρχείο προστέθηκε κατά λάθος στο έργο αντί να διατηρηθεί στους development servers.
Το αρχικό αρχείο, το οποίο παρέχεται από έναν 3ο κατασκευαστή, το elFinder, αρχικά είχε την κατάληξη .php.dist και επρόκειτο να χρησιμοποιηθεί ως παράδειγμα ή σημείο αναφοράς στο development του plugin, αλλά κατα λάθος άλλαξε η κατάληξη από .php.dist σε .php κατά την διάρκεια του development.
Αυτή η αλλαγή επιτρέπει σε έναν οποιονδήποτε μη εξουσιοδοτημένο χρήστη, να έχει άμεση πρόσβαση σε αυτό το αρχείο και να εκτελέσει κακόβουλες εντολές στo wordpress, συμπεριλαμβανομένου του file editing & uploading, αφήνοντας τελικά τον ιστότοπο ευάλωτο σε οποιαδήποτε είδους κακόβουλη ενέργεια.
Παρατηρώντας τα logfiles του firewall, βλέπουμε ότι γίνονται προσπάθειες να παρακαμφθεί η ενσωματωμένη προστασία του file uploading.
Ένας νέος κανόνας τοποθετήθηκε για να επιτύχουμε την μέγιστη προστασία πρός όλους τους πελάτες μας.
Έχουμε επιτυχώς καταγράψει & αποτρέψει πάνω από 50,000 προσπάθειες όπου στοχεύουν στο συγκεκριμένο vulnurability του plugin.
Αυτόματα οι ip addresses όπου έχουν καταγραφεί με αυτήν την προσπάθεια μπαίνουν σε blacklist.
Οι προσπάθειες που βλέπουμε στα log files δείχνουν ότι αυτοματοποιημένα scripts προσπαθούν να ελέγξουν αν μια wordpress σελίδα έχει εγκατεστημένη την συγκεκριμένη ευπαθή έκδοση του wp-file-manager.
Αν το wordpress έχει την ευπαθή έκδοση, τότε θα προσπαθήσουν να ανεβάσουν αρχεία.
Κάποια αρχεία που βλέπουμε στα log files μας είναι :
hardfork.php
hardfind.php
x.php
Απ ότι φαίνεται, και σε αυτήν την περίπτωση, η συνηθισμένη πρακτική είναι, οι κακόβουλοι χρήστες να ερευνούν την ευπάθεια με κενά αρχεία, και αν είναι επιτυχής, τότε σίγουρα θα προσπαθήσουν να ανεβάσουν κακόβουλα αρχεία όπου κάνουν την πραγματική ζημιά.
Οι πελάτες της WebHosting|4U όπου διαθέτουν shared hosting πακέτο ή πελάτες με dedicated ή vps server & εγκατεστημένο managed bitninja firewall, δεν έχουν επηρεαστεί από αυτήν την ευπάθεια.
Το WAF Firewall μας, αποτρέπει κακόβουλες προσπάθειες (ακόμα και σε vulnerable κώδικα) μέσω των κανόνων ασφαλείας όπου έχουμε ορίσει.
Εαν στην wordpress σελίδα σου διαθέτεις την ευπαθή έκδοση αναβάθμισε αμέσως το plugin σου στην πιό πρόσφατη έκδοση.