Брешь в плагине: хакеры могут взломать 350 тысяч Wordpress-сайтов

Специалисты обнаружили опасную уязвимость в плагине File Manager для Wordpress, предназначенном для управления загрузками. Известно, что плагин используют более чем на 700 тыс. сайтов. Обнаруженная проблема влияет на безопасность: злоумышленники могут устанавливать и запускать на пораженных сайтах опасные скрипты. В тот же день, после огласки данных, представители NinTechNet (Таиланд) заявили о старте организованных атак с использованием обнаруженной бреши.

О чем речь?

В File Manager дополнительно встроен менеджер файлов elFinder. Это библиотека, обеспечивающая базовую функциональность и отвечающая за удобное управление. Суть проблемы — в особенностях реализации elFinder.
Для File Manager изменили расширение для connector.minimal.php.dist на .php. Это дает возможность запускаться без ограничений, даже если менеджер не использует файл. Внутри часто содержатся файлы примеров. Они не защищены, так как не нуждаются в особых условиях доступа. Как результат — у файла нет конкретных ограничений. А это значит, через него может внедриться любой желающий.

Схема атаки

По словам представителей NinTechNet, злоумышленники пользуются брешью для закачивания на сайты собственных файлов. Преимущественно это изображения со скрытыми веб-шеллами (вредоносными скриптами). Они позволяют атакующим запускать команды в библиотеке плагина и даже работать в комфортной пользовательской среде. С одной стороны, далее этого каталога злоумышленники продвинуться не могут. С другой — уже и такого доступа достаточно, чтобы нанести сайту серьезный ущерб. Например, загрузить скрипты для вредоносного влияния на другие разделы сайта.

Есть данные, что сейчас хакеры пользуются багом для закачивания на ресурсы жертв скрипта hardfork.php. Через него они загружают куски кода в скрипты, содержащиеся в admin-ajax.php, а также и user.php, корневых каталогов /wp-admin/ и /wp-includes.
При этом хакеры запароливают уязвимый файл. Вероятнее всего — чтобы другие злоумышленники не пользовались захваченным сайтом. Представители NinTechNet отмечают, что следят за ситуацией. В ближайшее время станет ясно, как намерены поступать взломщики. Если они ставят пароли, очевидно, что они планируют возвращаться на зараженные сайты.

На волне атак появился отчет от компании Wordfence, специализирующейся на вопросах интернет-безопасности. Ее специалисты достаточно быстро смогли обнаружить и пресечь больше 450 тыс. попыток использования этой уязвимости. Хакеры пытались установить на сайты разные типы файлов: это были и пустые (очевидно, для тестирования), а также вредоносные с названиями hardfind, hardfork, x (все — с расширением .php).

Представители из Wordfence отметили: File Manager дает возможность хакерам управлять данными и загружать любые новые файлы непосредственно из панели администратора CMS WordPress. Есть потенциальный риск, что заинтересованный кибер-преступник получит привилегированный доступ, расширит присутствие и продолжит развивать свою атаку, используя другие уязвимости.

Разработчики плагина уже исправили проблему: версии от 6.0 до 6.8. вышли без нее. По официальной статистике WordPress, сейчас уязвимости подвержено около половины сайтов, использующих File Manager: то есть, примерно 350 тыс.