Zero-day: Falha no plugin “File Manager” do wordpress já está sendo explorada na rede

A falha de execução remota de código (RCE), que foi atribuída à pontuação CVSS mais alta possível de 10, permite que invasores não autenticados executem código arbitrário e carreguem arquivos maliciosos em sites vulneráveis. O Gerenciador de Arquivos, que ajuda os administradores do WordPress a organizar arquivos em seus sites, tem mais de 700.000 instalações ativas.

Indicadores de compromisso

Um firewall implantado pelo Wordfence bloqueou mais de 450.000 tentativas de exploração que visam a vulnerabilidade nos últimos dias, de acordo com uma postagem de blog publicada pela empresa de segurança WordPress ontem (1º de setembro). Os invasores parecem estar investigando a falha ao tentar injetar arquivos vazios, disse a empresa.

O Wordfence aconselhou os usuários a verificar os arquivos dentro do Gerenciador de Arquivos em busca de indicadores de comprometimento que incluem os arquivos hardfork.php, hardfind.php, x.php e seis endereços IP freqüentemente usados ​​por invasores. Os malcriados “estão usando o comando upload para enviar arquivos PHP contendo webshells ocultos em uma imagem para o diretório wp-content / plugins / wp-file-manager / lib / files /”, disse Chloe Chamberland, analista de ameaças do Wordfence.

elFinder

A vulnerabilidade foi encontrada no elFinder, um gerenciador de arquivos de código aberto usado pelo plugin. “O cerne do problema começou com o plugin do gerenciador de arquivos renomeando a extensão no arquivo conector.minimal.php.dist da biblioteca elFinder para .php para que pudesse ser executado diretamente, mesmo que o arquivo do conector não fosse usado pelo próprio gerenciador de arquivos , ”Explicou Chamberland. “Essas bibliotecas geralmente incluem arquivos de exemplo que não se destinam a ser usados ​​’no estado em que se encontram’, sem adicionar controles de acesso, e esse arquivo não tinha restrições de acesso direto, o que significa que o arquivo pode ser acessado por qualquer pessoa. Este arquivo pode ser usado para iniciar um comando elFinder e foi conectado ao arquivo elFinderConnector.class.php. ”

Ela continuou: “Quaisquer parâmetros enviados em uma solicitação para connector.minimal.php seriam processados ​​pela função run() no arquivo elFinderConnector.class.php, incluindo o comando que foi fornecido no parâmetro cmd.” Felizmente, ela acrescentou, “elFinder tem proteção integrada contra “transversal path”, de modo que um invasor não seria capaz de executar comandos maliciosos fora do diretório de arquivo do plug-in.

Patch e cronograma

A vulnerabilidade está presente nas versões 6.0-6.8 do File Manager e foi corrigida na versão 6.9. Ele foi descoberto por Gonzalo Cruz de Arsys, que alertou o Wordfence sobre as evidências de exploração na selva ontem. Cinco horas e meia depois, o desenvolvedor do plug-in, o canadense Webdesi9, lançou um patch que corrigiu o problema removendo o arquivo lib / php / connector.minimal.php.

‘Problemas sérios’

O gerenciamento de arquivos e outros plug-ins de utilitários normalmente “contêm vários recursos que, se expostos na área de administração da instalação do WordPress, podem causar sérios problemas”, disse Chamberland. Isso inclui invasores manipulando arquivos ou fazendo upload de arquivos maliciosos “diretamente do painel do WordPress, potencialmente permitindo que eles escalem privilégios uma vez na área de administração do site.

“Por exemplo, um invasor pode obter acesso à área administrativa do site usando uma senha comprometida, acessar esse plug-in e fazer upload de um shell da web para fazer uma enumeração adicional do servidor e potencialmente escalar seu ataque usando outro exploit.”

Portanto, o Wordfence recomenda que os usuários desinstalem os plug-ins de utilitários “quando não estiverem em uso, para que não criem um vetor de intrusão fácil para que os invasores aumentem seus privilégios”.

Fonte: https://portswigger.net/daily-swig/wordpress-security-zero-day-flaw-in-file-manager-plugin-actively-exploited