Bug no Plugin File Manager do Word Press permite invasores acessarem site

A última atualização do Plugin File Manager do Word Press está permitindo a invasores fazerem quase tudo nos sites com esta instalação.

A falha foi descoberta pelo Finlandês Ville Kornhonen em 1 de setembro, mas estava exposta desde a atualização da versão 6.4, há quatro meses atrás!

Um exploit chegou a ser divulgado no Github no dia 28 de agosto, espalhando a notícia e multiplicando a quantidade de ataques. Alguns servidores de nossos clientes chegaram a ser infestados de arquivos desconexos, scripts em  PHP e scripts em imagens.  A infestação foi tão grande em alguns casos, que sites com wordpress chegaram a ter centenas de arquivos inseridos, senha trocadas, e-mails apagados.

Tudo começou em arquivos de teste de um ambiente de desenvolvimento na versão 6.4 do File Explorer, há quase 4 meses atrás, onde um arquivo foi renomeado para testar certos recursos. O arquivo renomeado foi adicionado acidentalmente ao pacote de distrubuição para atualização, em vez de ser mantido como uma alteração local.  O arquivo original, tinha a extensão php.dist e foi alterado para .php pelo desenvolvedor do File Manager durante a criação do pacote de update em 5 de maio.

Essa mudança permitiu o acesso não autorizado diretamente à este arquivo e a execução de comandos para o plugin, incluindo upload e modificação de arquivos, como inserção de redirecionamentos, deixando o site vulnerável a uma aquisição completa.

Para termos uma noção do problema, o File Manager para o WP possui cerca de 2,3 milhões de downloads e 700 mil instalações ativas!

Em 25 de agosto, exploits começaram a ser publicados no Github, permitindo que o bug pudesse ser explorado antes que qualquer atualização fosse lançada.  De 25 de agosto até 02 de setembro os ataques começaram em larga escala nos sites WP.  Vários hostings começaram a reportar milhares de ataques por hora em uma progressão geométrica.

Como resolver o problema?

No momento, temos algumas opções de solução do problema (lembrando que elas não dão garantias, devido a peculiaridades de sua instalação e nível de comprometimento do Servidor):

1) Atualize o FileManager para a versão 6.9, lançada em 01/09.  Vá em https://br.wordpress.org/plugins/wp-file-manager, ou  https://downloads.wordpress.org/plugin/wp-file-manager.zip e baixe o plugin novamente.  Remova o plugin anterior em /wp-content/plugins/wp-file-manager e suba o plugin atualizado.  Após isso, ative o plugin no menu plugins do wp.

2) Restaure o conteúdo /wp dos sites de um backup anterior ao dia 25/08 (data do exploit) e realize as alterações que foram feitas no conteúdo depois disso.  Isso deve ser realizado se você tiver a certeza de comprometimento do site.

3) Crie regras no firewall para o bloqueio ao acesso utilizando comandos mkfile ou acesso ao arquivo connector.minimal.php.

4) Verifique a existência do arquivo lib/php/connector.minimal.php.  Caso ele ainda persista, exclua-o.  A atualização do plugin remove este arquivo, por isso você deve verificar se o mesmo ainda persiste.

5) Verifique também a existência de arquivos e comandos de upload sendo realizados em wp-content/plugins/wp-file-manager/lib/files.  Os ataques estão tendo um padrão de usar o comando upload para subir arquivos PHP contendo webshells ocultos em imagens para o Site.

Leia mais no link abaixo: