Portada » El blog de Comvive » El Blog de Comvive » Hosting » Wordpress: Vulnerabilidad crítica en Filemanager Plugin

Wordpress: Vulnerabilidad crítica en Filemanager Plugin

Vulnerabilidad Wordpress

El plugin FileManager con más de 600.000 instalaciones ha sido actualizado debido a una grave vulnerabilidad Zero-Day.

¿Que son los Zero-Day?

Las vulneravilidades Zero-Day, también conocidas como 0-day son fallos en la programación que nadie hasta ahora se habían percatado de que estaban ahí, por lo que no tienen o tenían un parche que los solucionasen. Estos fallos son aprovechados para infección de malware, botnets, …

FileManager Plugin

El FileManager es un plugin que nos permite tener un pequeño explorador de ficheros dentro de nuestro propio wordpress. Lógicamente este explorador sólo puede ser usado desde dentro del Dashboard del wordpress, o por lo menos eso se pensaba hasta ahora.

La Vulnerabilidad

Como ya comentamos con la infección del malware XsamXadoo / Bajatax de Prestashop, Wordpress puede ser comprometido por la infección de Malware utilizando una vulnerabilidad de un plugin ya instalado.

La vulnerabilidad reside en ficheros que pueden ser llamados con método POST sin necesidad de estar logueado y que nos permite subir ficheros.

El plugin usa internamente elFinder, un explorar de ficheros web. Es es el uso de elFinder en lo que se apoyan para poder llevar a cabo la infección.

Versiones afectadas

La vulnerabilidad se ha detectado que fue introducida en la versión 6.4 de FileManager el pasado 5 de mayo de 2020. Ha estado presente hasta la versión 6.9, donde el fallo fue parcheado el pasado día 1 de Septiembre.

¿Qué modifica?

No se trata sólo de qué modifica, sino además de que ficheros sube.

El más común, modifica los ficheros originales de FileManager, pero por lo menos nos mantienen una copia de esos ficheros permitiendonos restaurarlos:

./wp-content/plugins/wp-file-manager/lib/php/connector.maximal.php-dist
./wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php-dist
./wp-content/plugins/wp-file-manager/lib/php/connector.php-dist

Uno de los parámetros que modifican es qué podemos subir

++ ‘uploadAllow’ => array(‘all’), // Mimetype `image` and `text/plain` allowed to upload

— ‘uploadAllow’ => array(‘image/x-ms-bmp’, ‘image/gif’, ‘image/jpeg’, ‘image/png’, ‘image/x-icon’, ‘text/plain’), // Mimetype `image` and `text/plain` allowed to upload

De esta forma se aseguran de que no tengan problema en subir lo que necesiten.

Cuando explotan las vulnerabilidades suben ficheros shell que son utilizados para distintos fines como robo de información, envío de spam, clonado de web,…

Los Logs

En los logs podemos ver como han explotado la vulnerabilidad y uno de los ficheros que hemos visto en la caputra anterior:

185.222.57.183 - - [02/Sep/2020:17:26:06 +0200] "POST //wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1" 200 1085 "-" "-" "python-requests/2.24.0"
185.222.57.183 - - [02/Sep/2020:17:26:11 +0200] "POST //wp-content/plugins/wp-file-manager/lib/files/hardfork.php HTTP/1.1" 200 22823 "-" "-" "python-requests/2.24.0"

¿Cómo corregirlo?

Como otras veces hemos indicado lo primero es actualizar el plugin a su versión más actual y que corrige el fallo. Pero si es un plugin como es este caso, que no es necesario para que nuestra web funcione, podemos optar por eliminarlo.

Además tenemos que comprobar que ficheros han modificado para restaurarlos a su estado original.

Los usuarios de Comvive que disponen de un Hosting para WordpressServidor dedicado, puede pedir que se revise y se restauren de un backup estos ficheros en caso de haber sido comprometidos.

Si te ha gustado, compártelo

Entradas relacionadas

× ¿Cómo puedo ayudarte?