WordPress: falla de día cero en el complemento del Administrador de archivos es explotada activamente

Se ha instado a los usuarios de File Manager, un popular complemento de WordPress, al actualizar a la última versión en medio de la explotación activa de una vulnerabilidad crítica de día cero.

La falla de ejecución remota de código ( RCE ), a la que se le asignó la puntuación CVSS más alta posible de 10, permite que atacantes no autenticados que ejecuten código arbitrario y carguen archivos maliciosos en sitios web vulnerables.

File Manager, que ayuda a los administradores de WordPress a organizar archivos en sus sitios, tiene más de 700.000 instalaciones activas.

Indicadores de compromiso

Un firewall implementado por Wordfence ha bloqueado más de 450,000 intentos de explotación dirigidos a la vulnerabilidad en los últimos días, según una publicación de blog publicada por el equipo de seguridad de WordPress este martes (1 de septiembre).

Los atacantes parecen estar investigando la falla al intentar inyectar archivos vacíos, dijo la compañía.

Wordfence ha aconsejado a los usuarios que verifiquen los archivos dentro del Administrador de archivos en busca de indicadores de compromiso que incluyen los archivos hardfork.php , hardfind.php , x.php y seis direcciones IP que los atacantes utilizan con frecuencia.

Los malhechores “están usando el comando upload para subir archivos PHP que contienen webshells ocultos en una imagen al directorio wp-content / plugins / wp-file-manager / lib / files /”, dijo Chloe Chamberland, analista de amenazas en Wordfence.

La vulnerabilidad se encontró en elFinder, un administrador de archivos de código abierto utilizado por el complemento.

“El núcleo del problema comenzó con el complemento del Administrador de archivos que cambió el nombre de la extensión en el archivo connector.minimal.php.dist de la biblioteca elFinder a .php para que pudiera ejecutarse directamente, aunque el archivo del conector no fue utilizado por el Administrador de archivos. ”, Explicó Chamberland.

“Estas bibliotecas a menudo incluyen archivos de ejemplo que no están pensados ​​para ser usados ​​’tal cual’ sin agregar controles de acceso , y este archivo no tenía restricciones de acceso directo, lo que significa que cualquiera puede acceder al archivo. Este archivo podría usarse para iniciar un comando elFinder y se adjuntó al archivo elFinderConnector.class.php «.

Parche y línea de tiempo

La vulnerabilidad está presente en las versiones 6.0-6.8 del Administrador de archivos y se corrigió en la versión 6.9.

Fue desenterrado por Gonzalo Cruz de Arsys, quien ayer alertó a Wordfence sobre evidencia de explotación salvaje.

Cinco horas y media después, el desarrollador del complemento, Webdesi9 con sede en Canadá, lanzó un parche que solucionó el problema al eliminar el archivo lib / php / connector.minimal.php.

‘Problemas graves’

Los complementos de administración de archivos y otras utilidades generalmente «contienen varias características que, si se exponen dentro del área de administración de la instalación de WordPress, podrían causar problemas graves», dijo Chamberland.

Esto incluye a los atacantes que manipulan archivos o cargan archivos maliciosos «directamente desde el panel de WordPress , lo que potencialmente les permite escalar privilegios una vez en el área de administración del sitio».

«Por ejemplo, un atacante podría obtener acceso al área de administración del sitio usando una contraseña comprometida, luego acceder a este complemento y cargar un webshell para hacer una enumeración adicional del servidor y potencialmente escalar su ataque usando otro exploit».

Por lo tanto, Wordfence recomienda que los usuarios desinstalen los complementos de utilidades «cuando no estén en uso, para que no creen un vector de intrusión fácil para que los atacantes escalen sus privilegios».