Уязвимость Файлового Менеджера
Плагин wp-file-manager имеет более 600 000 активных установок. Он предлагает менеджерам сайтов удобный способ загружать, скачивать, редактировать и удалять файлы из WordPress. Плагин предоставляет простой способ принести файлы непосредственно в медиатеку. Использование FTP-клиента становится ненужным. Он также обрабатывает архивирование файлов в форматы Zip, Tar и Gzip.
Это очень удобно для управления файлами из WordPress, а не поднимать отдельную часть программного обеспечения каждый раз, когда администратору нужно внести изменения. Хотя программное обеспечение должно быть безопасным. Незнакомец, который берет под свой контроль эту функциональность, может нанести неограниченный ущерб.
Именно поэтому уязвимость, известная как CVE-2020-25213, считается критической. Он позволяет злоумышленникам взять под контроль эти возможности, не нуждаясь в каких-либо учетных данных.
Вот краткий технический взгляд на то, как это работает. Плагин использует популярную библиотеку с открытым исходным кодом elFinder для своей низкоуровневой функциональности управления файлами. Дистрибутив включает в себя пример файла под названием connector.РНР.минимальный.расстояние. Он предназначался только для примера кода, а не для использования в живых системах. Код для живого использования должен включать проверку авторизации и другие функции безопасности, которых нет в файле примера.
К сожалению, в инструкции говорится, чтобы переименовать файл, давая ему a .расширение PHP. Это было предназначено только для целей тестирования, но кто-то, должно быть, неправильно понял, и файловый менеджер был распространен с переименованным соединителем. Любой, кто знает путь к нему, может управлять им дистанционно. Аутентификация не требуется. Ошибка оставляет веб-сайт широко открытым для размещения на нем файлов или установки вредоносных программ.
Вот формальное описание уязвимостисо ссылкой на скрипт Python, который вы можете использовать, чтобы проверить, находится ли ваш сайт в опасности.
Эффект уязвимости
Эта ситуация является примером уязвимости удаленного выполнения кода. Обнаружение вредоносных программ само по себе не найдет его, так как злоумышленники могут воспользоваться им, не размещая никакого дополнительного кода на сервере. Они также могут использовать его для загрузки и запуска вредоносных скриптов. Одна из хороших новостей заключается в том, что elFinder имеет защиту от обхода каталогов, поэтому он не может быть использован для атаки всего сервера, а только каталога WordPress.
Загруженные скрипты могут делать с сайтом практически все, что угодно, в том числе:
- Изменение видимого содержимого. Сценарий может вводить рекламу, удалять информацию или добавлять клеветнические заявления.
- Изменение скрытого контента. Скрытый JavaScript может перекачивать информацию на сервер злоумышленника.
- Доступ к базе данных. Можно извлечь конфиденциальную информацию или изменить данные.
- Запуск фоновых процессов. Скрипт криптомайнинга может использовать вычислительную мощность сервера для майнинга криптовалюты, замедляя работу веб-сайта.
- Кража информации, такой как пароли, номера кредитных карт и другая информация, которую вводит пользователь.
Использование уязвимости
На момент написания этой статьи об уязвимости было известно всего месяц, но она уже активно использовалась. Во время нашего периодического аудита журналов WAF наших клиентов мы обнаружили, что 1,5% всех проверенных атак были нацелены на уязвимость CVE-2020-25213. Число уязвимых объектов на начало сентября составляло более 700 000. Большинство этих объектов все еще уязвимы.
Первые атаки были обнаружены 31 августа, еще до появления патча.
Более 100 мест по всему миру были базами для вредоносных запросов, использующих эту слабость. Они базируются в этих странах:
- Соединенные Штаты Америки (51.48%)
- Канада (7,92%)
- Франция (7,92%)
- Вьетнам (6.93%)
- Германия (3,96%)
- Российская Федерация (3,96%)
- Египет (2,97%)
- Европейский Союз, неопределенная страна (1.98%)
- Филиппины (1.98%)
- Польша (1.98%)
- Турция (1.98%)
- Индия (0,99%)
- Индонезия (0,99%)
- Италия (0,99%)
- Нидерланды (0,99%)
- Республика Корея (0,99%)
- Румыния (0,99%)
- Великобритания (0,99%)
Наиболее распространенная атака загружает файлы под названием admin.php, Кири.php, x.php или xa.РНР. Он использует эти файлы, чтобы полностью контролировать веб-сайт.
Со временем наверняка появятся и другие базы нападения.