黑客正在积极利用 File Manager WordPress 插件中的一个严重的远程执行代码漏洞,未经身份验证的攻击者可以利用这个漏洞在运行有漏洞的插件版本的 WordPress 站点上传脚本并执行任意代码。File Manager 插件允许用户直接从 WordPress 轻松管理文件,目前安装在超过 70 万个 WordPress 站点上。
该漏洞是 Arsys 的 Gonzalo Cruz 首次发现的,研究人员还证实,威胁行为者已经在利用该漏洞将恶意 PHP 文件上传到易受攻击的站点。
该漏洞影响流行插件的 6.0 至 6.8 之间的所有版本。该插件的开发人员已通过 6.9 版快速修复了该漏洞。
Cruz 与 WordPress 安全公司 Wordfence 分享了他的发现,并为该漏洞的概念利用提供了有效的证明。Wordfence 确认了持续的攻击,其 Web 应用防火墙在过去几天中已经阻止了 450,000 多次利用尝试。在过去的几天里,Wordfence 防火墙已经阻止了超过 45 万次针对这个漏洞的攻击。我们看到攻击者试图注入随机文件,所有这些文件都以单词 “hard” 或 “x” 开头。”“Wordfence 说。
从我们的防火墙攻击数据来看,攻击者似乎正在使用空文件来探测该漏洞,如果成功,则可能试图注入恶意文件。以下是一些我们正在上传的文件的列表:
hardfork.php
hardfind.php
x.php
像这样的文件管理器插件可以让攻击者直接从WordPress仪表板操作或上传他们选择的任何文件,一旦进入该网站的管理区,他们就有可能提升权限,安全公司Wordfence的研究员克洛伊·钱伯兰(Chloe Chamberland)在周二的帖子中写道。例如,攻击者可以使用泄露的密码获得站点管理区的访问权限,然后访问此插件并上载Webshell以进一步枚举服务器,并可能使用另一个漏洞升级攻击。
参考:
https://www.diglog.com/story/1021708.html
本文作者:SecPulse
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/140503.html