WordPress插件出现重大零时差漏洞,而且这次黑客发现得更早。芬兰Wordpress网站托管公司Seravo本周发现黑客正在针对WP File Manager一项远程程序代码执行(RCE)漏洞对多家网站发动攻击。
Servavo侦测到,多家Wordpress网站客户出现异常活动。经过分析,攻击者是开采Wordpress插件WP File Manager中的漏洞。同一时间,另一家安全公司Wordfence也侦测到攻击活动。这项漏洞可使成功开采的攻击者上传任意文件并远程执行程序代码。
WP File Manager是让Wordpress管理员管理站上文件的插件,目前有超过70万个Wordpress网站安装这个插件。
Wordfence解释,问题出在WP File Manager和核心组件elFinder函数库之间,其中File Manger将函数库连接器文件(connector.minimal.php.dist)文件扩展名改成了.php,以便可以直接执行。这个连接器文件(connector.minimal.php.dist)并未设访问限制,表示任何人都可以访问,用来发出elFinder指令,并送到elFinder的连接器文件(elFinderConnector.class.php)处理。因此只要对connector.minimal.php.dist发出调用,其中的参数即可交给后者处理。研究人员新发现的攻击,就是利用upload指令上传包含可执行程序的webshell的PHP档送入WP File Manager的目录中。
结果就是攻击者可以执行任何文件,视其目的而定,可以窃取网站资料、破坏网站或利用WordPress网站对其他网站,或是底层基础架构执行另一波攻击。该漏洞CVSS风险评分为最高等级的10.0。
受影响的版本涵盖WP File Manager 6.0-6.8版。经过通报后,WP File Manager开发团队已经发布修补漏洞的6.9版。
但Wordfence提醒,像File Manager这类工具插件使用起来要特别留意,因为它能让攻击者修改或上传任何文件到WordPress管理员接口,可能引发严重事件,像是攻击者可利用外泄的密码访问管理账号,修改插件程序,上传webshell程序,进而对服务器执行枚举分析(enumeration),或是以其他攻击程序来扩大损害。因此安全公司建议,没在使用时最好移除这类工具插件。