Products
GG网络技术分享 2025-03-18 16:13 0
研究人员周二说,黑客正在积极利用一个漏洞,该漏洞使他们能够在运行File Manager的网站上执行命令和恶意脚本,File Manager是一个WordPress插件,活跃安装量超过700,000。在修补了安全漏洞几小时后,发出了攻击的消息。
攻击者正在利用此漏洞上传包含隐藏在映像中的Web Shell的文件。从那里,他们有一个方便的界面,使他们可以在plugins / wp-file-manager / lib / files /(文件管理器插件所在的目录)中运行命令。虽然该限制阻止了黑客在目录之外的文件上执行命令,但黑客可以通过上载脚本来对遭受破坏的站点的其他部分执行操作,从而造成更大的损失。
WP File Manager的屏幕截图
当安全人员随时随地进行调查时,很快发现WordPress插件WP File Manager中存在一个严重的0day安全漏洞,攻击者可以在安装了此插件的任何WordPress网站上任意上传文件并远程执行代码。攻击者可能会做任何他们选择采取的行动–窃取私人数据,破坏站点或使用该网站对其他站点或基础结构进行进一步的攻击。
据我们所知,普通的WP File Manager和WP File Manager Pro版本均受到影响。该插件有超过700k的活动安装,因此在最受欢迎的WordPress插件列表中排名很高,因此许多站点都受到了影响。
幸运的是,该插件正在积极开发中,并且数小时内发布了6.9版的安全更新。我们紧急建议所有人使用最新WP File Manager 6.9以下的版本更新至最新版本或卸载插件(停用插件不足以防止此漏洞)。
从9月2日开始,这是WP File Manager活动安装的版本分发:
由于最初是一个零日漏洞,这意味着没有已知的修复程序,我们进行了一些调查研究以发现攻击者对网站的破坏。
在被破坏的站点上查看http流量日志时,我们立即注意到可能的访问点:
<REDACTED-VHOST> 185.222.57.183 - - [31/Aug/2020:23:34:12 +0300] "POST //wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1" 200 1085 "-" "python-requests/2.24.0" - "" 0.073
然后,我们从WP File Manager文件lib / php /connector.minimal.php开始浏览代码库,并注意到该文件在访问时执行了一些代码:
[...]
is_readable('./vendor/autoload.php') && require './vendor/autoload.php';
[...]
// // elFinder autoload
require './autoload.php';
[...]
// run elFinder
$connector = new elFinderConnector(new elFinder($opts));
$connector->run();这段代码来自elFinder项目,这是一个向Web应用程序提供文件浏览器GUI的框架。这个非常具体的代码仅作为示例,而不能在生产应用程序中直接使用。但是,正如我们所看到的,使用了它,结果是可以执行这部分代码而无需进行身份验证。
我们将该漏洞报告给了插件作者,WordPress插件存储库以及WP漏洞数据库。该修复程序已在同一天发布,并且WP File Manager插件6.9版通过删除允许未经授权的文件上传访问的端点来解决当前问题。
如果您在线拥有网站(无论是否拥有WordPress),都需要认真考虑安全性。即使您认为自己的网站没有什么重要的内容,攻击者也可以使用它在其他网站上发动攻击,并使您承担部分责任。
多年以来,基本的安全建议是相同的:
该安全漏洞存在于文件管理器版本,范围从6.0到6.8。WordPress的统计数据表明,目前约有52%的安装易受攻击。由于File Manager的700,000个站点中已安装的漏洞中有一半以上,因此损坏的可能性很高。运行任何这些版本的网站都应尽快更新到6.9。
网站正在使用一台虚拟主机时,最近收到了大量的\"主机攻击网络中断通知\"电子邮件,这意味着主机受到攻击,主机已经关闭,如果攻击停止四小时后,网站将自动打开。那么WordPress网站使用的主机遭受攻击后被关停了怎么办?
事实上,这种情况以前也发生过,这次购买主机已经四年了,遇到问题之前就关机了,半天以后就会恢复正常,过了一段时间也是正常的,当时也不太注意,这一次被攻击了大约三天,每天都收到电子邮件通知。
Demand feedback
