Une faille critique affecte des milliers de sites WordPress

Les pirates sont activement exploitant une vulnérabilité qui leur permet d’exécuter des commandes et des scripts malveillants sur des sites Web exécutant File Manager, un plugin WordPress avec plus de 700 000 installations actives, ont indiqué mardi des chercheurs. La nouvelle des attaques est arrivée quelques heures après la correction de la faille de sécurité.

Les attaquants utilisent l’exploit pour télécharger des fichiers contenant des webshells cachés dans une image. À partir de là, ils ont une interface pratique qui leur permet d’exécuter des commandes dans plugins / wp-file-manager / lib / files /, le répertoire où le Gestionnaire de fichiers le plugin réside. Bien que cette restriction empêche les pirates d’exécuter des commandes sur des fichiers en dehors du répertoire, les pirates peuvent être en mesure d’exiger plus de dégâts en téléchargeant des scripts qui peuvent effectuer des actions sur d’autres parties d’un site vulnérable.

NinTechNet, une société de sécurité de sites Web de Bangkok, en Thaïlande, a été parmi les premiers à signaler les attaques dans la nature. Le message indiquait qu’un hacker exploitait la vulnérabilité pour télécharger un script intitulé hardfork.php, puis l’utiliser pour injecter du code dans les scripts WordPress /wp-admin/admin-ajax.php et /wp-includes/user.php.

Dans un e-mail, Jerome Bruandet, PDG de NinTechNet, a écrit:

Il est un peu trop tôt pour connaître l’impact, car lorsque nous avons attrapé l’attaque, les pirates essayaient simplement de porte dérobée des sites Web. Cependant, une chose intéressante que nous avons remarquée est que les attaquants injectaient du code pour protéger par mot de passe l’accès au fichier vulnérable (connector.minimal.php) afin que d’autres groupes de pirates ne puissent pas exploiter la vulnérabilité sur les sites déjà infectés.

Toutes les commandes peuvent être exécutées dans le dossier / lib / files (créer des dossiers, supprimer des fichiers, etc.), mais le problème le plus important est qu’ils peuvent également télécharger des scripts PHP dans ce dossier, puis les exécuter et faire ce qu’ils veulent sur le blog .

Jusqu’à présent, ils téléchargent « FilesMan », un autre gestionnaire de fichiers souvent utilisé par les pirates. Celui-ci est fortement obscurci. Dans les prochaines heures et les prochains jours, nous verrons exactement ce qu’ils feront, car s’ils ont protégé le fichier vulnérable par mot de passe pour empêcher d’autres pirates d’exploiter la vulnérabilité, il est probable qu’ils s’attendent à revenir visiter les sites infectés.

Une autre firme de sécurité de sites Web Wordfence, quant à elle, a déclaré dans son propre message qu’elle avait bloqué plus de 450 000 tentatives d’exploitation au cours des derniers jours. Le message indique que les attaquants tentent d’injecter divers fichiers. Dans certains cas, ces fichiers étaient vides, probablement pour tenter de rechercher des sites vulnérables et, en cas de succès, d’injecter un fichier malveillant ultérieurement. Les fichiers téléchargés avaient des noms tels que hardfork.php, hardfind.php et x.php.

« Un plugin de gestion de fichiers comme celui-ci permettrait à un attaquant de manipuler ou de télécharger les fichiers de son choix directement à partir du tableau de bord WordPress, ce qui lui permettrait potentiellement d’élever les privilèges une fois dans la zone d’administration du site », Chloe Chamberland, chercheuse en sécurité firme Wordfence, a écrit dans le message de mardi. « Par exemple, un attaquant pourrait accéder à la zone d’administration du site en utilisant un mot de passe compromis, puis accéder à ce plugin et télécharger une webshell pour faire une énumération plus poussée du serveur et potentiellement intensifier son attaque en utilisant un autre exploit. »

Le plugin File Manager aide les administrateurs à gérer les fichiers sur les sites exécutant le système de gestion de contenu WordPress. Le plugin contient un gestionnaire de fichiers supplémentaire appelé elFinder, une bibliothèque open source qui fournit les fonctionnalités de base du plugin, ainsi qu’une interface utilisateur pour l’utiliser. La vulnérabilité provient de la façon dont le plugin a implémenté elFinder.

« Le cœur du problème a commencé avec le plugin du gestionnaire de fichiers renommant l’extension du fichier connector.minimal.php.dist de la bibliothèque elFinder en .php afin qu’il puisse être exécuté directement, même si le fichier de connecteur n’a pas été utilisé par le gestionnaire de fichiers lui-même. », Expliqua Chamberland. « Ces bibliothèques incluent souvent des fichiers d’exemple qui ne sont pas destinés à être utilisés » tels quels « sans ajouter de contrôles d’accès, et ce fichier n’avait aucune restriction d’accès direct, ce qui signifie que n’importe qui pouvait accéder au fichier. Ce fichier pourrait être utilisé pour lancer un elFinder et a été raccordé au fichier elFinderConnector.class.php. «