研究人员周二表示,黑客正在积极利用一个漏洞,该漏洞允许他们在运行文件管理器(File Manager)的网站上执行命令和恶意脚本。文件管理器是一个WordPress插件,有超过70万个活跃安装。袭击的消息是在修补安全漏洞几个小时后传来的。
攻击者正在利用该漏洞上载包含隐藏在图像中的WebShell的文件。在那里,他们有一个方便的界面,允许他们在plugins/wp-file-manager/lib/files/(文件管理器插件所在的目录)中运行命令。虽然这一限制阻止黑客对目录外的文件执行命令,但黑客可能会通过上传可以在易受攻击网站的其他部分执行操作的脚本来造成更大的破坏。
泰国曼谷的一家网站安全公司NINTECHNet是最早报告这起野外攻击事件的公司之一。这篇帖子说,一名黑客利用这个漏洞上传了一个名为hardfork.php的脚本,然后利用它将代码注入到WordPress脚本/wp-admin/admin-ajax.php和/wp-includes/user.php中。
现在就知道其影响还为时过早,因为当我们发现攻击时,黑客们正试图对网站进行后门攻击。然而,我们注意到一件有趣的事情,攻击者正在注入一些代码来密码保护对易受攻击的文件(connector.minimal.php)的访问,这样其他组的黑客就不能利用已经感染的站点上的漏洞。
所有命令都可以在/lib/files文件夹中运行(创建文件夹、删除文件等),但最重要的问题是,它们也可以将PHP脚本上传到该文件夹中,然后运行它们并对博客做任何他们想做的事情。
到目前为止,他们正在上传另一个黑客经常使用的文件管理器&FilesMan。这一张是非常模糊的。在接下来的几个小时和几天里,我们将看到他们到底会做什么,因为如果他们对易受攻击的文件进行密码保护,以防止其他黑客利用该漏洞,他们很可能会回来访问受感染的网站。
与此同时,另一家网站安全公司Wordfare在自己的帖子中表示,在过去几天里,它已经阻止了超过45万次利用漏洞的企图。该帖子称,攻击者正试图注入各种文件。在某些情况下,这些文件是空的,很可能是试图探测易受攻击的站点,如果成功,稍后再注入恶意文件。上传的文件的名称包括hardfork.php、hardfind.php和x.php。
像这样的文件管理器插件可以让攻击者直接从WordPress仪表板操作或上传他们选择的任何文件,一旦进入该网站的管理区,他们就有可能提升权限,安全公司Wordfence的研究员克洛伊·钱伯兰(Chloe Chamberland)在周二的帖子中写道。例如,攻击者可以使用泄露的密码获得站点管理区的访问权限,然后访问此插件并上载Webshell以进一步枚举服务器,并可能使用另一个漏洞升级攻击。";