Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Grave vulnerabilidad RCE en plugin File Manager de WordPress




Días después de conocerse la vulnerabilidad zero-day que afecta al plugin File Manager para WordPress, se registraron millones de ataques a sitios que intentan explotar el fallo. Se recomienda actualizar cuanto antes.






Están explotando activamente una vulnerabilidad crítica de ejecución remota de código en el complemento File Manager, más de 300.000 sitios de WordPress potencialmente expuestos.

El 1 de septiembre se conocía la noticia de que atacantes estaban explotando de manera activa una vulnerabilidad zero-day crítica en la versión 6.8 y anteriores del plugin File Manager para WordPress, así como las versiones Pro desde la 7.6 a la 7.8. La vulnerabilidad permite a usuarios no autenticados ejecutar código de manera remota y subir archivos maliciosos en sitios que tuvieran una versión desactualizada de este plugin.

Según explica el equipo de Seravo, “un atacante que explote la vulnerabilidad puede robar datos privados, destruir el sitio o utilizarlo para realizar otros ataques en otros sitios o su infraestructura”. Por suerte, los desarrolladores de este plugin, que al momento de conocerse el fallo contaba con más de 700.000 instalaciones activas, lanzaron rápidamente la actualización 6.9 de este plugin que repara el fallo.

Sin embargo, el pasado viernes 4 de septiembre, el equipo de Wordfence informó que detectó un incremento dramático en la cantidad de ataques intentando explotar el fallo en sitios que no han instalado la última versión del plugin. Según sus datos, desde que se explotó la vulnerabilidad por primera vez hasta el pasado 4 de septiembre se registraron 1.7 millones de ataques a sitios, y aquellos que no tienen instalado este plugin están siendo revisados por bots que buscan detectar versiones vulnerables del plugin File Manager”, explicó la compañía. Pero tal como aclara Wordfence, sus registros se basan en 3 millones de sitios WordPress que protegen, por lo tanto, la verdadera escala de estos ataques es aún mayor que lo que indican sus registros.

Según explicó en su blog Sucuri, otra de las compañías que analizó el fallo, el 31 de agosto registraron un promedio de 1.500 ataques por hora que intentaban explotar la vulnerabilidad, y un día después, cuando se lanzó la actualización, el promedio de ataques por hora subió a 2.500, mientras que el 2 de septiembre registraron picos de más de 10.000 ataques por hora. A su vez, la compañía considera que “la explotación del fallo creció de forma rápida debido a su alto impacto y a los bajos requerimientos”.

Según los datos estadísticos que se muestran en el sitio de WordPress de File Manager, apenas el 21.3% de los sitios que tienen instalado este plugin están corriendo la versión 6.9 que incluye el parche, por lo tanto, todavía existe una gran cantidad de sitios vulnerables.

La única buena noticia es que solo el 51,5% (aproximadamente 300K + sitios web)) de todos los sitios que ejecutan el complemento File Manager tienen una versión vulnerable.




Algunas víctimas de la explotación de esta vulnerabilidad explican en el foro de soporte de WordPress que tras verse afectados por uno de estos ataques su sitio fue utilizado para redirigir a los usuarios a otras páginas.

Recomendamos a aquellos responsables de sitios en WordPress que utilicen este plugin que actualicen cuanto antes a la última versión disponible y en caso de verse afectados que sigan las instrucciones que dejaron los desarrolladores de File Manager.


File Manager < 6.9 - Arbitrary File Upload leading to RCE

Description: Remote Code Execution
Affected Plugin: File Manager
Plugin Slug: wp-file-manager
Affected Versions: 6.0-6.8
CVSS Score: 10.00 (Critical)
CVSS Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Patched Versions: 6.9


El núcleo del problema comenzó con el complemento del Administrador de archivos que cambió el nombre de la extensión en el archivo connector.minimal.php.dist de la biblioteca elFinder a .php para que pudiera ejecutarse directamente, aunque el administrador de archivos no usara el archivo del conector. Estas bibliotecas a menudo incluyen archivos de ejemplo que no están pensados para usarse "tal cual" sin agregar controles de acceso, y este archivo no tiene restricciones de acceso directo, lo que significa que cualquiera puede acceder al archivo. Este archivo podría usarse para iniciar un comando elFinder y estaba conectado al archivo elFinderConnector.class.php


// run elFinder
$connector = new elFinderConnector(new elFinder($opts));
$connector->run();

Cualquier parámetro enviado en una solicitud a connector.minimal.php sería procesado por la función run () en el archivo elFinderConnector.class.php, incluido el comando que se proporcionó en el parámetro cmd.

El archivo lib/php/connector.minimal.php se puede abrir directamente de forma predeterminada y este archivo carga lib/php/elFinderConnector.class.php que lee las variables POST / GET y luego permite ejecutar algunas funciones internas, como cargar archivos. PHP está permitido, por lo que esto conduce a la carga de archivos arbitrarios no autenticados y la ejecución remota de código.

La buena noticia es que elFinder tiene protección incorporada contra el cruce de directorios, por lo que un atacante no podría usar ninguno de estos comandos en ningún archivo fuera del directorio plugins

plugins/wp-file-manager/lib/files/

Peticiones del tipo

POST /wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1
y

POST //wp-content/plugins/wp-file-manager/lib/files/hardfork.php HTTP/1.1


La vulnerabilidad fue descubierta por primera vez por Gonzalo Cruz de Arsys, el investigador también confirmó que los actores de amenazas ya están explotando la falla para cargar archivos PHP maliciosos en sitios vulnerables.

  • La vulnerabilidad afecta a todas las versiones entre 6.0 y 6.8 del popular complemento.

Cruz compartió sus hallazgos con la empresa de seguridad de WordPress Wordfence y le proporcionó una prueba funcional de explotación del concepto para la falla.

Wordfence confirmó el ataque en curso, su Web Application Firewall ya bloqueó más de 450.000 intentos de explotación durante los últimos días.

“A partir de los datos de ataque de nuestro firewall, parece que los atacantes pueden estar investigando la vulnerabilidad con archivos vacíos y, si tienen éxito, pueden intentar inyectar un archivo malicioso. Aquí hay una lista de algunos de los archivos que estamos viendo cargados:

    hardfork.php
    hardfind.php
    x.php

Los expertos de Wordfence confirmaron que los actores de amenazas están intentando cargar archivos PHP con webshells ocultos dentro de imágenes en la carpeta

wp-content/plugins/wp-file-manager/lib/files


El complemento solo se ha descargado un poco más de 126,000 veces en los últimos días, lo que significa que al menos 574,000 sitios de WordPress están potencialmente expuestos.




Fuentes:
https://www.welivesecurity.com/la-es/2020/09/07/wordpress-ataques-sitios-utilizan-plugin-file-manager/
https://www.wordfence.com/blog/2020/09/700000-wordpress-users-affected-by-zero-day-vulnerability-in-file-manager-plugin/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.