Hackeři aktivně zneužívají bezpečnostní zranitelnost na webech s redakčním systémem WordPress, která jim umožňuje vzdálené spouštění příkazů a skriptů. Konkrétně se jedná o problém v doplňku File Manager, jež je dle oficiálních stránek nainstalován na více než 700 tisících webech. O nepříjemnosti informuje server Ars Technica.
Bezpečnostní experti na chybu upozornili v úterý a několik hodin po vydání bezpečnostní aktualizace přišla informace o tom, že je aktivně využívána. Útočníci jsou touto cestou schopni nahrát na web obrázek, obsahující takzvaný webový shell čili škodlivý skript, poskytující přístup k systému.
Nebezpečí chyby ve WordPressu
Hackeři tak získají možnost spouštět ze složky doplňku (tj. plugins/wp-file-manager/lib/files/) nejrůznější příkazy. Toto omezení jim sice brání v provádění příkazů mimo uvedený adresář, avšak pomocí dalších skriptů lze získat přístup i k jiným částem zranitelného webu.
Jako jedna z prvních ohlásila záchyt aktivních útoků thajská firma NinTechNet, zabývající se zabezpečením webových stránek. Odhalila, že v jednom konkrétním případě zneužil hacker chybu zabezpečení k nahrání skriptu s názvem hardfork.php a poté k vložení kódu do skriptů /wp-admin/admin-ajax.php a /wp-includes/user.php.
„Všechny příkazy lze spouštět ve složce /lib/files (lze například vytvářet složky, mazat soubory atd.), ale nejdůležitější je, že do této složky je možné nahrát PHP skripty a poté je spouštět a provádět přes ně další akce.“ uvádí NinTechNet na svém blogu. Zajímavostí je, že hackeři následně zajišťují postižený web před dalšími útočníky.
Aktivní zneužívání
Firma Wordfence, zaměřující se na zabezpečení webových stránek, mezitím ve svém vlastním příspěvku uvedla, že v posledních několika dnech zablokovala více než 450 tisíc pokusů o zneužití. Útočníci se dle ní pokoušeli nahrát na web různé soubory. V některých případech byly tyto soubory prázdné – pravděpodobně sloužily jen jako pokusná data při prozkoumávání zranitelných webů.
Vývojáři doplňku File Manager připsali odhalení chyby Villovi Korhonenovi z bezpečnostní firmy Seravo, který ji nahlásil jako první. Dle jejich zjištění se vyskytovala ve verzích 6.0 až 6.8, které tvoří 52 % všech aktivních instalací. Z toho lze celkem spolehlivě usuzovat, že zranitelných bylo zhruba 350 tisíc stránek s tímto doplňkem.
Jak se bránit, pokud používáte redakční systém WordPress s doplňkem File Manager? Naštěstí je to poměrně jednoduché – stačí v administraci v sekci Pluginy spustit jeho aktualizaci. Zatím poslední vydaná verze 6.9 totiž inkriminovanou chybu opravuje.