Киберпреступники активно используют критическую уязвимость удаленного исполнения кода, позволяющую хакерам, не прошедшим проверку подлинности, загружать скрипты и выполнять произвольный код на сайтах WordPress, на которых работают уязвимые версии плагина File Manager.
Уязвимость была обнаружена Гонсало Крузом из компании Arsys. ИБ-специалист также выявил, что проблема активно эксплуатируется киберпреступниками для загрузки вредоносных PHP-файлов на уязвимые сайты.
На данный момент насчитывается более 700 000 установок плагина File Manager на сайтах WordPress. Уязвимыми считаются версии от 6.0 до 6.8. Разработчики плагина уже исправили проблему (спустя несколько часов после обнаружения ошибки Гонсало Крузом), выпустив версию 6.9. Круз также проинформировал ИБ-специалистов Wordfence об этой продолжающейся атаке, предоставив им рабочее доказательство концепции и позволив им понять, как блокировать кибератаки.
Команда по безопасности из WordPress позже сообщила, что брандмауэр веб-приложений Wordfence смог заблокировать более 450 тыс. попыток использования уязвимости за последние несколько дней. В Wordfence отметили, что хакеры пытаются загрузить файлы PHP с веб-оболочками, скрытыми внутри изображений, в папку wp-content / plugins / wp-file-manager / lib / files.
Компания NinTechNet, которая также сообщила о попытках использования эксплойтов, рассказала, что хакеры пытаются загрузить вредоносный скрипт hardfork.php, который позволяет им внедрять вредоносный код в /wp-admin/admin-ajax.php и / wp-includes / на сайтах WordPress.
«Плагин File Manager, уязвимых версий, позволяет киберпреступнику загружать любые файлы по своему выбору прямо из панели управления WordPress. Также ошибка позволяет им повышать привилегии сразу в административном интерфейсе сайта», – отметила Хлоя Чемберлен, директор по информационной безопасности Wordfence.
1 сентября утром команда разработчиков File Manager устранила активно эксплуатируемую критическую уязвимость, выпустив File Manager 6.9. Однако плагин новой версии был загружен только немногим более 126 тыс. раз, включая обновления и новые установки. По статистике, доступной на сайте плагинов WordPress, можно сделать вывод о том, что 574 тыс. сайтов WordPress остаются потенциально уязвимыми.
