Bug no Plugin File Manager do Word Press permite invasores acessarem site
700 mil instalações afetadas

A última atualização do Plugin File Manager do Word Press está permitindo a invasores fazerem quase tudo nos sites com esta instalação.
A falha foi descoberta pelo Finlandês Ville Kornhonen em 1 de setembro, mas estava exposta desde a atualização da versão 6.4, há quatro meses atrás!
Um exploit chegou a ser divulgado no Github no dia 28 de agosto, espalhando a notícia e multiplicando a quantidade de ataques. Alguns servidores de nossos clientes chegaram a ser infestados de arquivos desconexos, scripts em PHP e scripts em imagens. A infestação foi tão grande em alguns casos, que sites com wordpress chegaram a ter centenas de arquivos inseridos, senha trocadas, e-mails apagados.
Tudo começou em arquivos de teste de um ambiente de desenvolvimento na versão 6.4 do File Explorer, há quase 4 meses atrás, onde um arquivo foi renomeado para testar certos recursos. O arquivo renomeado foi adicionado acidentalmente ao pacote de distrubuição para atualização, em vez de ser mantido como uma alteração local. O arquivo original, tinha a extensão php.dist e foi alterado para .php pelo desenvolvedor do File Manager durante a criação do pacote de update em 5 de maio.
Essa mudança permitiu o acesso não autorizado diretamente à este arquivo e a execução de comandos para o plugin, incluindo upload e modificação de arquivos, como inserção de redirecionamentos, deixando o site vulnerável a uma aquisição completa.
Para termos uma noção do problema, o File Manager para o WP possui cerca de 2,3 milhões de downloads e 700 mil instalações ativas!
Em 25 de agosto, exploits começaram a ser publicados no Github, permitindo que o bug pudesse ser explorado antes que qualquer atualização fosse lançada. De 25 de agosto até 02 de setembro os ataques começaram em larga escala nos sites WP. Vários hostings começaram a reportar milhares de ataques por hora em uma progressão geométrica.
Como resolver o problema?
No momento, temos algumas opções de solução do problema (lembrando que elas não dão garantias, devido a peculiaridades de sua instalação e nível de comprometimento do Servidor):
1) Atualize o FileManager para a versão 6.9, lançada em 01/09. Vá em https://br.wordpress.org/plugins/wp-file-manager, ou https://downloads.wordpress.org/plugin/wp-file-manager.zip e baixe o plugin novamente. Remova o plugin anterior em /wp-content/plugins/wp-file-manager e suba o plugin atualizado. Após isso, ative o plugin no menu plugins do wp.
2) Restaure o conteúdo /wp dos sites de um backup anterior ao dia 25/08 (data do exploit) e realize as alterações que foram feitas no conteúdo depois disso. Isso deve ser realizado se você tiver a certeza de comprometimento do site.
3) Crie regras no firewall para o bloqueio ao acesso utilizando comandos mkfile ou acesso ao arquivo connector.minimal.php.
4) Verifique a existência do arquivo lib/php/connector.minimal.php. Caso ele ainda persista, exclua-o. A atualização do plugin remove este arquivo, por isso você deve verificar se o mesmo ainda persiste.
5) Verifique também a existência de arquivos e comandos de upload sendo realizados em wp-content/plugins/wp-file-manager/lib/files. Os ataques estão tendo um padrão de usar o comando upload para subir arquivos PHP contendo webshells ocultos em imagens para o Site.
Leia mais no link abaixo:
Clique aqui para ver mais