緊急!WordPress文件管理器插件爆嚴(yán)重0day漏洞
2020年09月03日
研究人員周二說(shuō)����,黑客正在積極利用一個(gè)漏洞,該漏洞使他們能夠在運(yùn)行File Manager的網(wǎng)站上執(zhí)行命令和惡意腳本�����,F(xiàn)ile Manager是一個(gè)WordPress插件��,活躍安裝量超過(guò)700,000����。在修補(bǔ)了安全漏洞幾小時(shí)后,發(fā)出了攻擊的消息。
攻擊者正在利用此漏洞上傳包含隱藏在映像中的Web Shell的文件�。從那里,他們有一個(gè)方便的界面����,使他們可以在plugins / wp-file-manager / lib / files /(文件管理器插件所在的目錄)中運(yùn)行命令。雖然該限制阻止了黑客在目錄之外的文件上執(zhí)行命令���,但黑客可以通過(guò)上載腳本來(lái)對(duì)遭受破壞的站點(diǎn)的其他部分執(zhí)行操作����,從而造成更大的損失���。
WP File Manager的屏幕截圖
當(dāng)安全人員隨時(shí)隨地進(jìn)行調(diào)查時(shí)�,很快發(fā)現(xiàn)WordPress插件WP File Manager中存在一個(gè)嚴(yán)重的0day安全漏洞�����,攻擊者可以在安裝了此插件的任何WordPress網(wǎng)站上任意上傳文件并遠(yuǎn)程執(zhí)行代碼����。攻擊者可能會(huì)做任何他們選擇采取的行動(dòng)–竊取私人數(shù)據(jù)��,破壞站點(diǎn)或使用該網(wǎng)站對(duì)其他站點(diǎn)或基礎(chǔ)結(jié)構(gòu)進(jìn)行進(jìn)一步的攻擊。
據(jù)我們所知��,普通的WP File Manager和WP File Manager Pro版本均受到影響���。該插件有超過(guò)700k的活動(dòng)安裝�����,因此在最受歡迎的WordPress插件列表中排名很高����,因此許多站點(diǎn)都受到了影響��。
當(dāng)天發(fā)布了安全更新
幸運(yùn)的是��,該插件正在積極開發(fā)中���,并且數(shù)小時(shí)內(nèi)發(fā)布了6.9版的安全更新�����。我們緊急建議所有人使用最新WP File Manager 6.9以下的版本更新至最新版本或卸載插件(停用插件不足以防止此漏洞)�。
從9月2日開始���,這是WP File Manager活動(dòng)安裝的版本分發(fā):
安全性研究
由于最初是一個(gè)零日漏洞�,這意味著沒(méi)有已知的修復(fù)程序,我們進(jìn)行了一些調(diào)查研究以發(fā)現(xiàn)攻擊者對(duì)網(wǎng)站的破壞��。
在被破壞的站點(diǎn)上查看http流量日志時(shí)�,我們立即注意到可能的訪問(wèn)點(diǎn):
<REDACTED-VHOST> 185.222.57.183 - - [31/Aug/2020:23:34:12 +0300] "POST //wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1" 200 1085 "-" "python-requests/2.24.0" - "" 0.073
然后,我們從WP File Manager文件lib / php /connector.minimal.php開始瀏覽代碼庫(kù)����,并注意到該文件在訪問(wèn)時(shí)執(zhí)行了一些代碼:
[...]
is_readable('./vendor/autoload.php') && require './vendor/autoload.php';
[...]
// // elFinder autoload
require './autoload.php';
[...]
// run elFinder
$connector = new elFinderConnector(new elFinder($opts));
$connector->run();
這段代碼來(lái)自elFinder項(xiàng)目,這是一個(gè)向Web應(yīng)用程序提供文件瀏覽器GUI的框架�。這個(gè)非常具體的代碼僅作為示例,而不能在生產(chǎn)應(yīng)用程序中直接使用�。但是,正如我們所看到的�,使用了它,結(jié)果是可以執(zhí)行這部分代碼而無(wú)需進(jìn)行身份驗(yàn)證����。
我們將該漏洞報(bào)告給了插件作者,WordPress插件存儲(chǔ)庫(kù)以及WP漏洞數(shù)據(jù)庫(kù)�。該修復(fù)程序已在同一天發(fā)布,并且WP File Manager插件6.9版通過(guò)刪除允許未經(jīng)授權(quán)的文件上傳訪問(wèn)的端點(diǎn)來(lái)解決當(dāng)前問(wèn)題���。
給WordPress網(wǎng)站所有者的安全建議
如果您在線擁有網(wǎng)站(無(wú)論是否擁有WordPress)��,都需要認(rèn)真考慮安全性��。即使您認(rèn)為自己的網(wǎng)站沒(méi)有什么重要的內(nèi)容���,攻擊者也可以使用它在其他網(wǎng)站上發(fā)動(dòng)攻擊,并使您承擔(dān)部分責(zé)任�。
多年以來(lái),基本的安全建議是相同的:
定期進(jìn)行更新��,并快速進(jìn)行安全更新�。
每天自動(dòng)進(jìn)行備份。無(wú)論您的站點(diǎn)遭受什么不幸����,備份都可以節(jié)省一天的時(shí)間,因?yàn)樗梢允鼓€原該站點(diǎn)的純凈功能版本�。
使用某種監(jiān)視服務(wù)來(lái)檢測(cè)站點(diǎn)是否關(guān)閉,以便可以快速將其重新啟動(dòng)��。有許多廉價(jià)的在線服務(wù)可以單獨(dú)提供監(jiān)視和電子郵件警報(bào)�。
遵循良好的密碼衛(wèi)生習(xí)慣,以便不太容易猜測(cè)它們�����,并且其他站點(diǎn)泄漏的密碼也不能重新用于在WordPress站點(diǎn)上獲得輸入。
使用HTTPS�����。它應(yīng)該在2020年成為標(biāo)準(zhǔn)����,但并非所有人都使用。如果可以通過(guò)網(wǎng)絡(luò)竊聽登錄憑據(jù)��,則任何安全保護(hù)都將無(wú)效��。通過(guò)選擇良好的服務(wù)提供商����,HTTPS的使用將包括在內(nèi),而無(wú)需支付任何額外費(fèi)用����,并且默認(rèn)情況下處于啟用狀態(tài)。好的WordPress提供程序通常還提供許多其他附加的安全功能���。
該安全漏洞存在于文件管理器版本����,范圍從6.0到6.8。WordPress的統(tǒng)計(jì)數(shù)據(jù)表明�����,目前約有52%的安裝易受攻擊��。由于File Manager的700,000個(gè)站點(diǎn)中已安裝的漏洞中有一半以上�,因此損壞的可能性很高��。運(yùn)行任何這些版本的網(wǎng)站都應(yīng)盡快更新到6.9��。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
