400-067-1560
研究人员周二说,黑客正在积极利用一个漏洞,该漏洞使他们能够在运行File Manager的网站上执行命令和恶意脚本,File Manager是一个WordPress插件,活跃安装量超过700,000。在修补了安全漏洞几小时后,发出了攻击的消息。攻击者正在利用此漏洞上传包含隐藏在映像中的Web Shell的文件。从那里,他们有一个方便的界面,使他们可以在plugins / wp-file-manager / lib / files /(文件管理器插件所在的目录)中运行命令。虽然该限制阻止了黑客在目录之外的文件上执行命令,但黑客可以通过上载脚本来对遭受破坏的站点的其他部分执行操作,从而造成更大的损失。
WP File Manager的屏幕截图
当安全人员随时随地进行调查时,很快发现WordPress插件WP File Manager中存在一个严重的0day安全漏洞,攻击者可以在安装了此插件的任何WordPress网站上任意上传文件并远程执行代码。攻击者可能会做任何他们选择采取的行动–窃取私人数据,破坏站点或使用该网站对其他站点或基础结构进行进一步的攻击。据我们所知,普通的WP File Manager和WP File Manager Pro版本均受到影响。该插件有超过700k的活动安装,因此在最受欢迎的WordPress插件列表中排名很高,因此许多站点都受到了影响。
当天发布了安全更新
幸运的是,该插件正在积极开发中,并且数小时内发布了6.9版的安全更新。我们紧急建议所有人使用最新WP File Manager 6.9以下的版本更新至最新版本或卸载插件(停用插件不足以防止此漏洞)。
从9月2日开始,这是WP File Manager活动安装的版本分发:
安全性研究
由于最初是一个零日漏洞,这意味着没有已知的修复程序,我们进行了一些调查研究以发现攻击者对网站的破坏。
在被破坏的站点上查看http流量日志时,我们立即注意到可能的访问点:
185.222.57.183 - - [31/Aug/2020:23:34:12 +0300] "POST //wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1" 200 1085 "-" "python-requests/2.24.0" - "" 0.073
然后,我们从WP File Manager文件lib / php /connector.minimal.php开始浏览代码库,并注意到该文件在访问时执行了一些代码:
[...]
is_readable('./vendor/autoload.php') && require './vendor/autoload.php';
[...]// // elFinder autoload
require './autoload.php';
[...]// run elFinder$connector = new elFinderConnector(new elFinder($opts));$connector->run();
这段代码来自elFinder项目,这是一个向Web应用程序提供文件浏览器GUI的框架。这个非常具体的代码仅作为示例,而不能在生产应用程序中直接使用。但是,正如我们所看到的,使用了它,结果是可以执行这部分代码而无需进行身份验证。
我们将该漏洞报告给了插件作者,WordPress插件存储库以及WP漏洞数据库。该修复程序已在同一天发布,并且WP File Manager插件6.9版通过删除允许未经授权的文件上传访问的端点来解决当前问题。
给WordPress网站所有者的安全建议
如果您在线拥有网站(无论是否拥有WordPress),都需要认真考虑安全性。即使您认为自己的网站没有什么重要的内容,攻击者也可以使用它在其他网站上发动攻击,并使您承担部分责任。
多年以来,基本的安全建议是相同的:
定期进行更新,并快速进行安全更新。
每天自动进行备份。无论您的站点遭受什么不幸,备份都可以节省一天的时间,因为它可以使您还原该站点的纯净功能版本。
使用某种监视服务来检测站点是否关闭,以便可以快速将其重新启动。有许多廉价的在线服务可以单独提供监视和电子邮件警报。
遵循良好的密码卫生习惯,以便不太容易猜测它们,并且其他站点泄漏的密码也不能重新用于在WordPress站点上获得输入。
使用HTTPS。它应该在2020年成为标准,但并非所有人都使用。如果可以通过网络窃听登录凭据,则任何安全保护都将无效。通过选择良好的服务提供商,HTTPS的使用将包括在内,而无需支付任何额外费用,并且默认情况下处于启用状态。好的WordPress提供程序通常还提供许多其他附加的安全功能。
该安全漏洞存在于文件管理器版本,范围从6.0到6.8。WordPress的统计数据表明,目前约有52%的安装易受攻击。由于File Manager的700,000个站点中已安装的漏洞中有一半以上,因此损坏的可能性很高。运行任何这些版本的网站都应尽快更新到6.9。
文章来源:安全圈
400-067-1560
公司地址: 北京市朝阳区东大桥8号院SOHO尚都北塔B座10层、20层 (北京总部)
联系电话:400-067-1560
Email:contact@hqsec.com离职员工背景调查(邮箱):hq-hr@hqsec.com