Новости Хакеры атакуют уязвимость, которой подвержены более 350 000 сайтов на WordPress

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.158
Репутация
536
Реакции
1.634
RUB
2.000
Депозит
56 072 рублей
Сделок через гаранта
29
Арбитражи
1
В плагине File Manager, которым пользуются более 700 000 ресурсов на базе WordPress, обнаружена опасная уязвимость, которая позволяет выполнять команды и вредоносные скрипты на уязвимых сайтах. Спустя всего несколько часов после раскрытия информации о баге эксперты из таиландской компании NinTechNet о первых атаках на эту уязвимость.

Суть проблемы заключается в том, что плагин содержит дополнительный файловый менеджер, известный как elFinder — это библиотека с открытым исходным кодом, которая обеспечивает работу основных функций плагина, а также предоставляет пользовательский интерфейс. Уязвимость возникает из-за того, как реализована имплементация elFinder в данном случае. Так, в File Manager расширение файла библиотеки connector.minimal.php.dist изменено на .php, чтобы его можно было запускать напрямую, даже если файл connector не используется самим файловым менеджером. В такие библиотеки часто включены файлы примеров, которые не предназначены для использования прямо «из коробки», без настройки управления доступом. В итоге данный файл не имеет прямых ограничений доступа, а значит, к нему может получить доступ кто угодно.


Исследователи NinTechNet пишут, что злоумышленники используют эксплоит для загрузки на сайты файлов изображений, в которых скрытых веб-шеллы. В итоге атакующие могут использовать удобный интерфейс, который позволяет им запускать команды в каталоге plugins/wp-file-manager/lib/files/, где находится плагин File Manager. И хотя проблема не позволяет хакерам выполнять команды вне названного каталога, атакующие могут нанести немалый ущерб, загрузив на уязвимый сайт скрипты, которые способны выполнять действия в других частях уязвимого ресурса.

По данным NinTechNet, в настоящее время хакеры используют баг для загрузки на сайты скрипта hardfork.php, а затем применяют его инъекций кода в скрипты /wp-admin/admin-ajax.php и /wp-includes/user.php.

При этом отмечается, что злоумышленники стремятся защитить уязвимый файл паролем (connector.minimal.php), чтобы другие хак-группы не могли воспользоваться уязвимостью на уже зараженных сайтах.

«В ближайшие несколько часов или дней мы увидим, что именно они будут делать дальше. Ведь если они защищают уязвимый файл паролем, чтобы предотвратить использование уязвимости другими хакерами, вероятно, они собираются вернуться и снова посетить зараженные ресурсы», — говорят специалисты NinTechNet.
Эксперты из ИБ-компании Wordfence уже посвятили этой волне атак . За последние несколько дней компания заблокировала более 450 000 попыток эксплуатации данной уязвимости. Исследователи пишут, что злоумышленники пытаются внедрить на сайты различные файлы. В некоторых случаях эти файлы были пустыми (очевидно, хакеры лишь тестировали уязвимость), другие вредоносные файлы носили имена hardfork.php, hardfind.php и x.php.

«Плагин файлового менеджера, подобный этому, позволяет злоумышленникам манипулировать файлами и загружать новые по своему выбору прямо из панели управления WordPress. Потенциально это также позволяет сразу повысить привилегии. Например, злоумышленник может получить доступ к админке сайта, используя скомпрометированный пароль, затем получить доступ к уязвимому плагину и загрузить веб-шелл, чтобы выполнить дальнейшие действия на сервере и развить свою атаку с помощью другого эксплоита», — пишет специалистка Wordfence Хлоя Чемберленд (Chloe Chamberland).
Проблема уже была исправлена в File Manager версий от 6.0 до 6.8. Официальная показывает, что в настоящее время уязвимы примерно 52% установок плагина, то есть около 350 000 сайтов.
 
Киберпреступники обнаружили уязвимость нулевого дня в популярном плагине File Manager.

Специалисты компании Defiant на прошлой неделе всплеск кибератак на сайты под управлением WordPress. По их данным, злоумышленники пытались атаковать миллионы сайтов в поисках уязвимого плагина File Manager.

Злоумышленники обнаружили в старых версиях File Manager уязвимость нулевого дня, позволяющую загружать на сайт неавторизованные файлы, в том числе вредоносные. Каким образом была обнаружена уязвимость, неизвестно, но на прошлой неделе киберпреступники начали активно искать этот плагин на сайтах. Обнаружив уязвимый File Manager, они эксплуатировали уязвимость, получали доступ к web-оболочке, захватывали контроль над сайтом и включали его в ботнет.

Поначалу число фиксируемых атак было небольшим, но уже к 4 сентября их количество достигло 1 млн. В общей сложности с 1 сентября, когда атаки только , специалисты Defiant заблокировали попытки атаковать 1,7 млн сайтов под управлением WordPress – это больше половины сайтов, защищенных с помощью межсетевого экрана Wordfence от Defiant. По мнению аналитика компании Рэма Голла (Ram Gall), реальное число атак может быть намного выше.

Разработчики File Manager выпустили исправление для уязвимости в тот же день, когда стало известно о кибератаках. Некоторые владельцы сайтов установили его, однако множество сайтов по-прежнему работают с уязвимой версией плагина.

Из-за медленной установки патчей разработчики WordPress недавно добавили в свою систему управления контентом функцию автоматического обновления плагинов и тем. Так, начиная с версии WordPress 5.5, выпущенной в прошлом месяце, владельцы сайтов могут включить автоматическое обновление, и при каждом выходе патча плагины и темы будут самостоятельно обновляться.
 
Сверху Снизу