È stata scoperta una grave falla che sfrutta una vulnerabilità nel plugin File Manager di WordPress che potrebbe consentire agli hacker di eseguire comandi e script dannosi su siti web che non sono ancora aggiornati all’ultima versione del plugin.
La vulnerabilità è stata originata dai residui di un aggiornamento sulla versione 6.4 quasi quattro mesi fa, in cui un file è stato rinominato per testare alcune funzionalità.
Questo file è stato accidentalmente aggiunto al progetto, invece di essere mantenuto come modifica locale.
Il file originale aveva inizialmente l’estensione .php.dist e doveva essere usato come esempio di codice o riferimento durante lo sviluppo, ma è stato cambiato in .php durante la fase di sviluppo.
Questa modifica ha consentito a qualsiasi utente non autenticato di accedere direttamente al file ed eseguire comandi arbitrari nella libreria, inclusi il caricamento e la modifica del file, lasciando il sito web vulnerabile a una completa acquisizione.
Gli aggressori stanno sfruttando l’exploit per caricare file contenenti webshell nascosti nelle immagini.
Da lì, possono eseguire comandi nella directory in cui risiede il plugin File Manager sui siti WordPress vulnerabili.
Cos’è File Manager?
File Manager è un plugin popolare ed è attualmente installato su oltre 700.000 siti web.
Il plug-in File Manager aiuta gli amministratori a gestire i file su siti che eseguono WordPress e contiene anche un altro gestore di file noto come elFinder, che è una libreria open source che fornisce le funzioni principali del plug-in.
Tuttavia, la vulnerabilità che ora viene sfruttata dagli attacchi online si è verificata a seguito del modo in cui gli sviluppatori del plugin hanno implementato elFinder.
I proprietari di siti WordPress che utilizzano File Manager dovrebbero aggiornare il plugin all’ultima versione per evitare di cadere vittima di qualsiasi attacco che sfrutti questa vulnerabilità.
Negli ultimi giorni ha bloccato oltre 450.000 tentativi di exploit in cui gli aggressori hanno cercato di iniettare vari file con nomi come hаrdfork.php, hаrdfind.php e x.php.
Secondo il team di sicurezza Wordfence, un plug-in per la gestione dei file come questo consentirebbe a un utente di manipolare o caricare qualsiasi file di sua scelta direttamente dal dаshbord di WordPress, consentendogli di arrivare direttamente all’area di amministrazione del sito.
Ad esempio utilizzando una parola chiave compromessa, e quindi accedere a questo plug-in e caricare una webshell per eseguire un’ulteriore enumerazione del server e sfuggire al loro altro exploit utilizzando un altro exploit.
Per questo motivo, si consiglia di disinstallare i plug-in di utilità, come i plug-in di gestione dei file, quando non sono in uso, in modo che non creino un vettore di intrusione per gli utenti malintenzionati.
