WordPress kohët e fundit ka zbuluar një dobësi të file upload vulnerability duke u shfrytëzuar në mënyrë aktive në Fancy Product Designer, një plugins i WordPress i instaluar në më shumë se 17,000 faqe në internet.
Update: Patched version i Fancy Product Designer, 4.6.9, është tani i disponueshëm që nga 2 qershori 2021.
Më 31 maj 2021, ekipi i Wordfence Threat Intelligence zbuloi një dobësi të file upload vulnerability duke u shfrytëzuar në mënyrë aktive në Fancy Product Designer, një plugins WordPress e instaluar në mbi 17,000 site.
File upload vulnerability në Wordfence Firewall bllokon mjaftueshëm shumicën e sulmeve kundër këtij vulnerabiliteti, ata vunë re që një anashkalim ishte i mundur në disa konfigurime. Si i tillë, lëshuan një rregull të ri për firewall për klientët e tyre premium më 31 maj 2021. Sitet që ende ekzekutojnë versionin falas të Wordfence do ta marrin rregullin pas 30 ditësh, më 30 qershor 2021.
Meqenëse kjo është një kritike 0 day nën sulm aktiv dhe është e shfrytëzueshme në disa konfigurime edhe nëse plugins është çaktivizuar, ne nxisim këdo që përdor këtë plugins të marre update në versionin më të fundit të disponueshëm, 4.6.9, menjëherë.
Description: Unauthenticated Arbitrary File Upload and Remote Code Execution
Affected Plugin: Fancy Product Designer
Plugin Slug: fancy-product-designer
Affected Versions: < 4.6.9
CVE ID: CVE-2021-24370
CVSS Score: 9.8 (Critical)
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Researcher/s: Charles Sweethill/Ram Gall
Fully Patched Version: 4.6.9
Filet e Komprementuara
Në shumicën e rasteve, një sulm i suksesshëm rezulton në një numër skedarësh të cilët do të shfaqen në një nënfolder të njërës ose tjetrës
wp-administratori
ose
wp-content / plugins / fancy-product-designer / inc
me datën e ngarkimit të skedarit. Për shembull:
wp-content / plugins / fancy-product-designer / inc / 2021/05/30 / 4fa00001c720b30102987d980e62d5e4.php
ose
wp-admin / 2021/05/31 / 4fa00001c720b30102987d980e62d5e4.php
Update – the filenames në fjalë janë përcaktues dhe ne kemi shtuar emra skedarësh të lidhur me këtë dobësi.
Emrat e mëposhtëm të skedarëve dhe hashet MD5 shoqërohen me këtë sulm:
ass.php
– MD5 3783701c82396cc96d842839a291e813
.. Kjo është ngarkesa fillestare, që më pas rigjeneron malware shtesë nga një faqe e palës së tretë.
op.php
– MD5 29da9e97d5efe5c9a8680c7066bb2840
. A password-protected Webshell.
prosettings.php
– MD5 e6b9197ecdc61125a4e502a5af7cecae
. A Webshell found in older infections.
4fa00001c720b30102987d980e62d5e4.php
– MD5 4329689c76ccddd1d2f4ee7fef3dab71
. This payload decodes and loads a separate Webshell.
4fa00001c720b30002987d983e62d5e1.jpg
– MD5 c8757b55fc7d456a7a1a1aa024398471
. The compressed webshell loaded by 4fa00001c720b30102987d980e62d5e4.php
Cannot be executed without the loader script.
Shumica e sulmeve kundër kësaj dobësie vijnë nga adresat e mëposhtme IP:
69.12.71.82
92.53.124.123
46.53.253.152
Ky sulmues duket se po synon faqet e tregtisë elektronike dhe po përpiqet të nxjerrë informacionin e porosisë nga bazat e të dhënave të faqeve.
Ky vulnerabilitet është shfrytëzuar që prej të paktën 16 maj 2021.