安全研究人员发现,黑客正在积极利用WordPress插件文件管理器中的漏洞,该漏洞可能使他们能够在尚未更新到该插件最新版本的网站上执行命令和恶意脚本。
据Ars Technica报道,攻击者正在利用此漏洞上传包含隐藏在图像中的Web Shell的文件。从那里,他们可以在易受攻击的WordPress网站上文件管理器插件所在的目录中运行命令。
File Manager是一个流行的插件,目前已安装在700,000多个网站上。据网站安全公司Wordfence称,在过去几天中,它已阻止了超过450,000次利用尝试,攻击者试图注入各种文件,这些文件的名称为hardfork.php,hardfind.php和x.php。
在博客中,在Wordfence克洛伊伯兰威胁分析师解释说攻击者是如何可以被利用在文件管理器插件漏洞,称获得权限提升。
像这样的文件管理器插件,使攻击者可以直接从WordPress仪表板操纵或上传他们选择的任何文件,从而有可能使他们一旦在站点的管理区域中升级特权。例如,攻击者可能会使用已泄露的密码来访问站点的管理区域,然后访问此插件并上传Webshell来进一步枚举服务器,并有可能使用其他漏洞利用来升级其攻击。因此,我们建议在不使用实用程序插件时将其卸载,这样它们就不会为攻击者创建容易的入侵载体以提升其特权。
File Manager插件可帮助管理员管理运行WordPress的站点上的文件,并且还包含一个名为elFinder的附加文件管理器,elFinder是一个开放源代码库,提供了插件的核心功能。由于插件的开发人员实施elFinder的方式而导致了如今被在线攻击者利用的漏洞。
Ville Korhonen位于Seravo的系统团队负责人是第一个发现该漏洞并将其报告给File Manager开发人员的人。
该安全漏洞存在于文件管理器6.0至6.8版本中,但值得庆幸的是,其开发人员最近发布了解决该漏洞的插件版本6.9。
使用文件管理器的WordPress网站所有者应立即将插件更新到6.9版,以避免成为利用此漏洞的任何潜在攻击的受害者。