WordPress插件Fancy Product Designer 0day漏洞

WordPress插件Fancy Product Designer 0day漏洞

2021 年 5 月 31 日,Wordfence 威胁情报团队在 Fancy Product Designer(安装在 17,000 多个站点上的 WordPress 插件)中发现了一个被积极利用的关键文件上传漏洞。

我们在同一天开始与插件的开发人员联系,并在 24 小时内收到回复。我们在 2021 年 6 月 1 日收到回复的同一天发送了完整的披露。由于此漏洞被主动攻击,我们公开披露了最少的细节,直到用户有时间更新到修补版本以提醒社区采取预防措施来保护他们的网站。

虽然 Wordfence 防火墙的内置文件上传保护足以阻止针对此漏洞的大多数攻击,但我们确定在某些配置中可以绕过。因此,我们于 2021 年 5 月 31 日向我们的高级客户发布了新的防火墙规则。仍在运行免费版 Wordfence 的网站将在 30 天后,即 2021 年 6 月 30 日收到该规则。

由于这是一个受到主动攻击的关键 0day漏洞,并且即使插件已被停用,在某些配置中仍可利用,我们敦促任何使用此插件的人立即更新到可用的最新版本 4.6.9

描述:未经身份验证的任意文件上传和远程代码执行
受影响的插件: Fancy Product Designer
Plugin Slug:fancy-product-designer
受影响的版本: < 4.6.9
CVE ID: CVE-2021-24370
CVSS 分数: 9.8(严重)
CVSS 向量:CVSS :3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
研究员/s: Charles Sweethill/Ram Gall
补丁版本: 4.6.9

Fancy Product Designer 是一个 WordPress 插件,让客户能够上传要添加到产品中的图像和 PDF 文件。不幸的是,虽然该插件进行了一些检查以防止上传恶意文件,但这些检查是不够的,很容易被绕过,允许攻击者将可执行的 PHP 文件上传到安装了该插件的任何站点。这有效地使任何攻击者都可以在受影响的站点上实现远程代码执行,从而实现整个站点的接管。

一旦更多用户更新到补丁版本,我们将对该漏洞提供更详细的技术解释。

如何更新?

在大多数情况下,您需要登录 codecanyon.net。登录后,您应该可以访问位于https://codecanyon.net/item/fancy-product-designer-woocommercewordpress/6318393的产品页面。在产品页面右侧的概览侧栏中,您应该会看到一个下载链接:

WordPress插件Fancy Product Designer 0day漏洞

下载插件的补丁版本后,您应该能够登录到您的 WordPress 站点并转到插件->添加新->上传插件以上传补丁插件。

侵害指标

在大多数情况下,成功的攻击会导致许多文件出现在 文件上传日期
wp-admin

wp-content/plugins/fancy-product-designer/inc
文件上传日期的子文件夹中。例如:

wp-content/plugins/fancy-product-designer/inc/2021/05/30/4fa00001c720b30102987d980e62d5e4.php

或者

wp-admin/2021/05/31/4fa00001c720b30102987d980e62d5e4.php

更新 – 有问题的文件名是确定性的,我们添加了与此漏洞相关的文件名。
以下文件名和 MD5 哈希值与此攻击相关:

ass.php
MD5: 3783701c82396cc96d842839a291e813

这是初始有效载荷,一个空投,然后从第 3 方站点检索其他恶意软件。

op.php
MD5: 29da9e97d5efe5c9a8680c7066bb2840
受密码保护的 Webshel​​l

prosettings.php
MD5: e6b9197ecdc61125a4e502a5af7cecae
在较旧的感染中发现的 Webshel​​l


4fa00001c720b30102987d980e62d5e4.php
MD5: 4329689c76ccddd1d2f4ee7fef3dab71
此有效负载解码并加载一个单独的 Webshel​​l

4fa00001c720b30002987d983e62d5e1.jpg
MD5 c8757b55fc7d456a7a1a1aa024398471
加载的压缩 webshel​​l 

4fa00001c720b30102987d980e62d5e4.php
没有加载程序脚本就无法执行

针对此漏洞的大多数攻击来自以下 IP 地址:

69.12.71.82
92.53.124.123
46.53.253.152

该攻击者似乎以电子商务网站为目标,并试图从网站数据库中提取订单信息。由于此订单信息包含来自客户的个人身份信息,如果站点所有者仍在运行此插件的易受攻击版本,则他们将处于特别困难的境地,因为这会危及电子商务商家的 PCI-DSS 合规性。

我们的研究表明,此漏洞可能不会受到大规模攻击,但至少自 2021 年 5 月 16 日起就已被利用。
更新:我们的威胁情报团队现已发现早在 2021 年 1 月 30 日就已发现此漏洞被利用的证据。

时间线

UTC 时间2021 年 5 月 31 日15:05 – Wordfence 安全分析师 Charles Sweethill 在作为站点清理的一部分的恶意软件移除和取证调查期间发现了先前未知漏洞的证据,并开始调查可能的攻击媒介。
UTC 时间:
2021 年 5 月 31 日15:45 – Charles 通知 Wordfence 威胁情报团队并开始全面调查。
2021 年 5 月 31 日16:20 UTC – 我们开发了初步概念证明并开始制定防火墙规则。
2021 年 5 月 31 日17:06 UTC – 我们开始与插件开发人员联系。
2021 年 5 月 31 日18:59 UTC – 我们向 Wordfence Premium 客户发布了针对此漏洞的防火墙规则。

2021 年 6 月 1 日09:03 UTC – 插件开发人员回复了我们的初步联系。
2021 年 6 月 1 日13:35 UTC – 我们发送了完整的披露信息。
20216 月 2 日– 插件开发人员发布了插件的修补版本 4.6.9。
20216 月 30 日– 免费 Wordfence 用户可以使用防火墙规则。

结论

在今天的文章中,我们介绍了 Fancy Product Designer 中的一个关键 0day 漏洞,该漏洞正受到积极攻击,并被用于将恶意软件上传到安装了该插件的站点。

虽然Wordfence Premium用户应该受到保护以免受此漏洞的影响,但我们敦促此插件的任何用户立即更新到插件的最新版本 4.6.9,因为在某些配置中,即使插件已安装但停用,也有可能利用此漏洞。

我们将继续监测情况并在获得更多信息时进行跟进。

特别感谢 Wordfence 安全分析师 Charles Sweethill 发现漏洞,确定最可能的攻击向量和指标,并在假期测试防火墙规则。我们还希望扩展插件开发人员 radykal 的荣誉,以快速开发此问题的补丁。

from

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注