黑客正在利用一个影响大于35万个WordPress用户网站的关键漏洞

研究人员在本周二表示，黑客正在积极利用一个漏洞，这个bug让他们在运行File Manager的网站上执行命令和恶意脚本。File Manager是一个有70多万活跃安装的WordPress插件用户。在安全漏洞被修补几个小时后，攻击的消息就传来了。

攻击者利用此漏洞上传包含隐藏在图像中的webshell文件。在那里，它们有一个方便的接口，可以允许它们在plugins/wp-file-manager/lib/files/(文件管理器插件所在的目录)中运行命令。虽然这一限制阻止黑客对目录之外的文件执行命令，但黑客可以通过上传脚本，在易受攻击的站点的其他部分执行操作，从而造成更大的损失。

泰国曼谷的一家网站安全公司NinTechNet，是最早报告这种疯狂攻击的公司之一。该帖子称，黑客利用这个漏洞上传了一个名为hardfork.php的脚本，然后用它将代码注入到WordPress script /wp-admin/admin-ajax.php和/wp-includes/user.php中。

大规模将脆弱站点后门

NinTechNet首席执行官Jerome Bruandet（杰罗姆·布鲁代特）在电子邮件中写道：

现在要定义它的影响还为时过早，因为当我们发现攻击时，黑客们只是试图给网站打开后门。然而，我们注意到的一件有趣的事情是，攻击者注入了一些代码用以密码保护对脆弱文件的访问(connector.minimal.php)，这样其他黑客组织就无法利用已被感染网站上的漏洞。

所有命令都可以在/lib/files文件夹中运行(创建文件夹、删除文件等)，但最重要的是他们也可以将PHP脚本上传到这个文件夹中，然后运行它们并对博客做任何他们想做的事情。

到目前为止，他们上传的是“FilesMan”，这一个经常被黑客使用的文件管理器。这一个是严重混淆。在接下来的几个小时和几天里，我们将会看到他们会做些什么，因为如果他们用密码保护这个脆弱的文件，以防止其他黑客利用这个漏洞，他们很可能会再次来访问受感染的网站。


与此同时，另一家网站安全公司Wordfence在自己的帖子中说，过去几天里，它已经屏蔽了超过45万次攻击企图。该帖子称，攻击者试图注入各种文件。在某些情况下，这些文件是空的，最有可能是试图探测易受攻击的网站，如果成功，随后注入一个恶意文件。上传的文件的名字包括hardfork.php ; hardfind.php和x.php。

”这样的文件管理器插件将会让攻击者可以直接从WordPress仪表板操纵或上传他们选择的任何文件，从而有可能让他们升级特权在网站的管理领域”克洛伊Chamberland,安全公司Wordfence研究员,在周二的文章中写道。“例如，攻击者可能使用一个泄露的密码来访问站点的管理区域，然后访问这个插件并上传一个webshell来做进一步的枚举服务器，并有可能使用其他漏洞利用来升级他们的攻击。”

70万用户中的52％的用户正在被攻击

文件管理插件帮助管理员管理运行WordPress内容管理系统的站点上的文件。该插件包含一个名为elFinder的附加文件管理器，它是一个开放源码库，提供了插件中的核心功能，以及用于使用它的用户界面。该漏洞源于插件实现elFinder的方式。

这个问题的核心开始于elFinder库的connector.minimal.php中的文件管理器插件重命名扩展名。即使连接器文件没有被文件管理器本身使用，它也可以被直接执行，”Chamberland解释说。这样的库通常包括一些示例文件，这些文件在没有添加访问控制的情况下是不打算‘按原样’使用的，并且这个文件没有直接访问限制，这意味着这个文件可以被任何人访问。此文件可用于初始化elFinder命令，并连接到elFinderConnector.class.php文件。

文件管理器的开发者感谢安全公司Seravo的研究员Ville Korhonen发现并第一次报告了这个漏洞。研究人员说，他们发现这个漏洞是他们常规的“WordPress维护服务”的一部分，并在这里发表了他们自己的文章。

建立并保护WordPress网站的承包商Sal Aguilar，在Twitter上对他看到的攻击发出警告。

“哦，糟糕!!”他写道。“WP文件管理器的漏洞很严重。它传播得很快，我看到数以百计的网站被感染。恶意软件被上传到/wp-content/plugin /wp-file-manager/lib/files。”

哦,糟糕! !WP文件管理器漏洞是很严重的。它传播得很快，我看到数以百计的网站被感染。恶意软件被上传到/wp-content/plugin /wp-file-manager/lib/files中

——S.Aguilar (@RipeR81) 2020年9月2日

这个安全漏洞存在于从6.0到6.8的文件管理器版本中。WordPress的数据显示，目前大约有52%的安装存在漏洞。由于文件管理器安装的70万个站点中有一半以上容易受到攻击，造成损害的可能性很高。运行这些版本的站点应该尽快更新到6.9。