|
研究人員周二說,黑客正在積極利用一個漏洞�,該漏洞使他們能夠在運行File Manager的網站上執(zhí)行命令和惡意腳本,File Manager是一個WordPress插件�,活躍安裝量超過700,000。在修補了安全漏洞幾小時后�����,發(fā)出了攻擊的消息��。 攻擊者正在利用此漏洞上傳包含隱藏在映像中的Web Shell的文件��。從那里�,他們有一個方便的界面,使他們可以在plugins / wp-file-manager / lib / files /(文件管理器插件所在的目錄)中運行命令����。雖然該限制阻止了黑客在目錄之外的文件上執(zhí)行命令,但黑客可以通過上載腳本來對遭受破壞的站點的其他部分執(zhí)行操作�,從而造成更大的損失。 
WP File Manager的屏幕截圖
當安全人員隨時隨地進行調查時�,很快發(fā)現WordPress插件WP File Manager中存在一個嚴重的0day安全漏洞,攻擊者可以在安裝了此插件的任何WordPress網站上任意上傳文件并遠程執(zhí)行代碼���。攻擊者可能會做任何他們選擇采取的行動–竊取私人數據���,破壞站點或使用該網站對其他站點或基礎結構進行進一步的攻擊�����。 據我們所知�,普通的WP File Manager和WP File Manager Pro版本均受到影響�����。該插件有超過700k的活動安裝��,因此在最受歡迎的WordPress插件列表中排名很高�,因此許多站點都受到了影響��。 當天發(fā)布了安全更新幸運的是�����,該插件正在積極開發(fā)中��,并且數小時內發(fā)布了6.9版的安全更新���。我們緊急建議所有人使用最新WP File Manager 6.9以下的版本更新至最新版本或卸載插件(停用插件不足以防止此漏洞)����。 從9月2日開始,這是WP File Manager活動安裝的版本分發(fā): 
安全性研究由于最初是一個零日漏洞�����,這意味著沒有已知的修復程序�����,我們進行了一些調查研究以發(fā)現攻擊者對網站的破壞��。 在被破壞的站點上查看http流量日志時��,我們立即注意到可能的訪問點: <REDACTED-VHOST> 185.222.57.183 - - [31/Aug/2020:23:34:12 +0300] 'POST //wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1' 200 1085 '-' 'python-requests/2.24.0' - '' 0.073
然后���,我們從WP File Manager文件lib / php /connector.minimal.php開始瀏覽代碼庫�����,并注意到該文件在訪問時執(zhí)行了一些代碼: [...]
is_readable('./vendor/autoload.php') && require './vendor/autoload.php';
[...]
// // elFinder autoload
require './autoload.php';
[...]
// run elFinder
$connector = new elFinderConnector(new elFinder($opts));
$connector->run();
這段代碼來自elFinder項目���,這是一個向Web應用程序提供文件瀏覽器GUI的框架���。這個非常具體的代碼僅作為示例,而不能在生產應用程序中直接使用��。但是���,正如我們所看到的��,使用了它�����,結果是可以執(zhí)行這部分代碼而無需進行身份驗證���。 我們將該漏洞報告給了插件作者,WordPress插件存儲庫以及WP漏洞數據庫���。該修復程序已在同一天發(fā)布,并且WP File Manager插件6.9版通過刪除允許未經授權的文件上傳訪問的端點來解決當前問題�。 給WordPress網站所有者的安全建議如果您在線擁有網站(無論是否擁有WordPress),都需要認真考慮安全性��。即使您認為自己的網站沒有什么重要的內容�,攻擊者也可以使用它在其他網站上發(fā)動攻擊����,并使您承擔部分責任�����。 多年以來���,基本的安全建議是相同的: 定期進行更新�,并快速進行安全更新�����。 每天自動進行備份�����。無論您的站點遭受什么不幸��,備份都可以節(jié)省一天的時間���,因為它可以使您還原該站點的純凈功能版本�。 使用某種監(jiān)視服務來檢測站點是否關閉���,以便可以快速將其重新啟動�。有許多廉價的在線服務可以單獨提供監(jiān)視和電子郵件警報。 遵循良好的密碼衛(wèi)生習慣�,以便不太容易猜測它們,并且其他站點泄漏的密碼也不能重新用于在WordPress站點上獲得輸入����。 使用HTTPS。它應該在2020年成為標準�,但并非所有人都使用。如果可以通過網絡竊聽登錄憑據����,則任何安全保護都將無效。通過選擇良好的服務提供商����,HTTPS的使用將包括在內,而無需支付任何額外費用�,并且默認情況下處于啟用狀態(tài)。好的WordPress提供程序通常還提供許多其他附加的安全功能�。
該安全漏洞存在于文件管理器版本,范圍從6.0到6.8�。WordPress的統(tǒng)計數據表明���,目前約有52%的安裝易受攻擊�。由于File Manager的700,000個站點中已安裝的漏洞中有一半以上,因此損壞的可能性很高�����。運行任何這些版本的網站都應盡快更新到6.9���。
|
