هکرها چند وقتی است که در تلاشند با سوء استفاده از یک آسیبپذیری در وبسایتهایی که FileManager را به اجرا در میآورند، فرمانها و اسکریپتهای بدخواهانه را پیادهسازی کنند. FileManager یک پلاگین در وردپرس است که به گفته محققین، بیش از ۷۰۰ هزار نصب فعال دارد.
هکرها از این آسیبپذیری برای آپلود فایلهایی استفاده میکنند که شامل وبشلهای پنهان درون یک تصویر هستند. از این لحظه به بعد، آنها با یک رابط کاربری خوشدست مواجه میشوند که به آنها اجازه میدهد در مسیر plugins/wp-file-manager/lib/files/، یعنی جایی که پلاگین فایل منیجر در آن قرار گرفته، فرمانهای مختلف را به اجرا درآورند. البته یکی از محدودیتهای پیش روی هکرها اینست که نمیتوان در هیچجایی غیر از این مسیر، فرمانها را به اجرا درآورد. اما در هر صورت میتوان با آپلود اسکریپتهایی که وظایف مختلف را در دیگر نقاط یک وبسایت آسیبپذیر برعهده میگیرند، خسارات زیادی وارد کرد.
شرکت امنیتی و تایوانی NinTechNet یکی از اولین شرکتهایی بود که خبر از وجود این روش حمله داد. در پست رسمی این شرکت آمده که هکرها از آسیبپذیری برای آپلود یک اسکریپت تحت عنوان hardfork.php استفاده میکنند و بعد به کمک آن، به تزریق کدهای دلخواه به درون اسکریپتهای wp-admin/admin-ajax.php و wp-includes/user.php میپردازند.
جروم بروندت، مدیرعامل NinTechNet در ایمیل اخیر خود نوشته:
هنوز برای ابعادسنجی تاثیر این حمله زود است، زیرا وقتی متوجه آن شدیم، هکرها صرفا در تلاش بودند که یک در پشتی به درون وبسایتها ایجاد کنند. اما یک نکته جالب که متوجهش شدیم اینست که مهاجمین در حال تزریق کدهایی برای محافظت از فایل آسیبپذیر (یعنی Connector.minimal.php) به کمک پسوورد بودند تا دیگر گروههای هکر قادر به استفاده از آسیبپذیری در سایتهایی که از پیش آلوده شدهاند نباشند.
تمام فرمانها را میتوان در فولدر lib/files به اجرا درآورد، اما مهمترین مشکل اینست که آنها میتوانند اسکریپتهای PHP را درون همان فولدر نیز آپلود، اجرا و هرکاری که میخواهند با بلاگ مورد نظر بکنند.
تا به اینجای کار، آنها مشغول آپلود «FilesMan» بودهاند، یک فایل منیجر دیگر که معمولا از سوی هکرها مورد استفاده قرار میگیرد. ساز و کار این فایل منیجر شدیدا مبهم است. در ساعات و روزهای پیش رو، دقیقا خواهیم داد که هکرها چه خواهند کرد. زیرا اگر آنها فایلهای آسیبپذیر را قفل میکنند تا در دسترس دیگر هکرها قرار نگیرد، این یعنی به احتمال زیاد مجددا به سراغ وبسایتهای آلوده شده خواهند آمد.
یک شرکت امنیتی دیگر به Wordfence هم در پست مجزای خود گفته که طی چند روز اخیر، با بالغ بر ۴۵۰ هزار تلاش برای استفاده از این آسیبپذیری مقابله کرده است. در پست این شرکت آمده که هکرها در تلاشند تا فایلهای مختلفی را درون وبسایتها تزریق کنند. در برخی از موارد، این فایلها خالی بودهاند و این یعنی هکرها تلاش کردهاند وبسایتهای آسیبپذیر را بیابند و اگر تلاششان موفقیتآمیز بود، به سراغ تزریق فایلهای بدخواهانه بروند. فایلهایی که آپلود میشوند نامهایی نظیر hardfork.php ،hardfind.php و x.php دارند.
یک پلاگین فایل منیجر به هکرها اجازه خواهد داد تا هر فایلی را مستقیما از طریق داشبورد وردپرس دستکاری کنند یا به آپلود آنها بپردازند. در این صورت، سطح دسترسی آنها به وبسایت تفاوتی با یک ادمین نخواهد داشت.
احتمال خسارت = ۵۲ درصد
پلاگین فایل منیجر به ادمینها اجازه میدهد که فایلهایی که روی سیستم مدیریت محتوای وردپرس به اجرا در میآیند را مدیریت کنند. این پلاگین شامل یک فایل منیجر دیگر به نام elFinder نیز هست، یک لایبرری متنباز که قابلیتهای کلی پلاگین و همینطور رابط کاربری آن را فراهم میآورد. ظاهرا آسیبپذیری از چگونگی تعبیه elFinder درون پلاگین به وجود آمده است.
مشکل زمانی ظهور کرده که پلاگین فایل منیجر، پسوند فایل connector.minimal.php.dist را به php تغییر میدهد تا بتوان آن را مستقیما به اجرا درآورد، حتی با اینکه فایل کانکتور به صورت مستقیم از سوی فایل منیجر استفاده نمیشود. برخی از لایبرریها شامل فایلهایی نمونه میشوند که نمیتوان بدون افزودن دسترسی کنترل به آنها، همانگونه که هستند به کار گرفتشان. اما این فایل هیچ محدودیتی در برابر دسترسی مستقیم نداشته و یعنی میتواند توسط هرکسی مورد استفاده قرار گیرد.
این آسیبپذیری امنیتی، ورژنهای ۶.۰ تا ۶.۸ پلاگین File Manager را تحت تاثیر قرار داده. بنابر آمار رسمی وردپرس، حدود ۵۲ درصد از نصبهای فعال پلاگین، متعلق به این ورژنها است. بنابراین با توجه به اینکه بیش از نیمی از سایتهایی که به استفاده از فایل منیجر روی آوردهاند در خطر هستد، پتانسیل آسیب بسیار بالا است. سایتهایی که هرکدام از این ورژنها را به اجرا درمیآورند باید فورا به سراغ ورژن ۶.۹ بروند.