O bezpečnostních chybách, na které narazíme u našich zákazníků, Vás informujeme pravidelně. Z posledních článků uvádíme například: Hlídáme Váš WordPress – odhalení dalšího útoku – WP-VCD Malware a Kritická bezpečnostní chyba v pluginu pro WordPress. A o další bezpečnostní chybě v pluginu pro WordPress bude i dnešní článek.

Plugin File Manager

Tento plugin se využívá ke snadnější správě souborů přímo v administraci WordPressu. Umožňuje mazání, kopírování, archivování, přesouvání a další akce se soubory. Tyto akce se běžně provádí přes FTP. V tomto případě, ale máte tuto správu přímo ve WordPress administraci.

 

TIP: Zkontrolujte, zda máte poslední vydanou verzi tj. 6.9.

 

Bezpečnostní chyba v pluginu File Manager

Útočníci aktivně využívají zranitelnost, která jim umožňuje provádět příkazy a škodlivé skripty na webech se spuštěným pluginem File Manager (správce souborů). Tento plugin používá více než 700 tis instalací WordPressu. Zpráva o útocích přišla několik hodin poté, co byla tato bezpečnostní chyba opravena.

Útočníci využívají exploit k nahrávání souborů, které obsahují škodlivé scripty skryté v obrázku. Odtud mají pohodlné rozhraní, které jim umožňuje spouštět příkazy v pluginech / wp-file-manager / lib / files / a v adresáři, kde se nachází plugin File Manager. I když toto omezení brání útočníkům v provádění příkazů na soubory mimo adresář, útočníci mohou být schopni nadělat větší škody nahráním skriptů, které mohou provádět akce v jiných částech zranitelného webu.

NinTechNet, firma zabývající se zabezpečením webových stránek v thajském Bangkoku, byla mezi prvními, kdo ohlásila první útoky. Tento příspěvek uvádí, že útočník tuto chybu zabezpečení zneužil k nahrání skriptu s názvem hardfork.php a poté jej použil k vložení kódu do skriptů WordPress /wp-admin/admin-ajax.php a /wp-includes/user.php.

Jerome Bruandet CEO  NinTechNetu napsal ve svém emailu:

Je příliš brzy na to odhadovat dopad těchto útoků, protože když jsme útok zachytili, útočníci se zatím pokoušeli vytvářet backdoor (zadní vrátka, která umožňují pozdější ovládání napadených webů) u napadených stránek. Jedna zajímavá věc, které jsme si všimli – útočníci vkládali vlastní kód, aby chránili přístup k zranitelnému souboru (connector.minimal.php), aby ostatní skupiny útočníků nemohly zneužít tuto zranitelnost na již infikovaných stránkách.

Všechny příkazy lze spouštět ve složce / lib / files (vytváření složek, mazání souborů atd.), Ale nejdůležitější je, že mohou do této složky nahrát také skripty PHP a poté je spouštět a v podstatě ovládat celý napadený web.

 

Informace od Wordfence

Firma zabývající se bezpečností webových stránek Wordfence mezitím ve svém vlastním příspěvku uvedla, že v posledních několika dnech zablokovala více než 450 000 pokusů o zneužití. Příspěvek uvádí, že se útočníci snaží vložit různé soubory. V některých případech byly tyto soubory prázdné. Nejpravděpodobnější je, že se jedná o pokus o prozkoumání zranitelných webů. A v pozdějším případě může dojít k nahrání škodlivého souboru, až za nějakou dobu.

Nahrané soubory měly názvy hardfork.php, hardfind.php a x.php.

„Takový plugin pro správu souborů by útočníkovi umožnil manipulovat, nebo nahrávat libovolné soubory podle vlastního výběru přímo z administrace WordPressu. Což by jim potenciálně umožnilo ovládat celý web,“ Chloe Chamberland, výzkumník zabezpečení z firmy Wordfence, napsal v úterý příspěvek. „Útočník by například mohl získat přístup do administrace webu pomocí napadeného hesla. Poté přistupovat k tomuto pluginu a nahrát webshell (script, který umožňuje procházení adresářů), aby provedl další scan serveru a mohl svůj útok eskalovat a mohl napadnout a zneužít další weby na serveru“.

 

TIP: 5 jednoduchých pravidel pro zabezpečení přihlášení ve WordPressu

 

Jaké verze pluginu jsou napadnutelné?

Chyba zabezpečení je ve verzích File Manageru v rozmezí od 6.0 do 6.8.

Statistiky z WordPressu ukazují, že v současné době je zhruba 52 procent instalací zranitelných. Vzhledem k tomu, že je více než polovina nainstalované základny File Manager se 700 000 weby zranitelná, je potenciál poškození a zneužití WordPressu velmi vysoký.

Weby , které používají starší verze tohoto pluginu, by měly být co nejdříve aktualizovány na  verzi 6.9.

 

Jak postupovat, pokud mám starší verzi?

Aktualizovat!

Všem zákazníkům a i ostatním uživatelům, kteří mají starší verzi File Manageru, než je aktuální 6.9. důrazně doporučujeme, aby provedli aktualizaci pluginu co nejdříve, aby zamezili možnosti zneužití tohoto pluginu.

Starší verze, jak již bylo zmíněno v úvodu, umožňují útočníkovi nahrávat škodlivé soubory přímo z administrace WordPressu. Může dojít k napadení celého webu, ale i ostatních webů na serveru.

My v Gigaserveru dbáme na bezpečnost našich zákazníků natolik, že v případě, že se objeví nějaký takový bezpečnostní problém, tak postupně informujeme zákazníky, aby si plugin aktualizovali. Pokud si zákazník neví rady s aktualizací, tak mu ochotně pomůže naše zákaznická podpora. Pokud i Vy máte starší verzi tohoto pluginu a nevíte si s aktualizací rady, tak nás prosím kontaktujte.

 

Editováno 28.9.2020

Připravili jsme pro Vás jednoduchý návod, jak plugin File Manager aktualizovat. Naleznete jej v našem článku: Aktualizace WordPress pluginu – File Manager