Xakep #305. Многошаговые SQL-инъекции
В июле текущего года специалисты компании Synacktiv обнаружили проблему в популярном плагине Duplicator для WordPress. По данным официального репозитория WordPress Plugins, Duplicator установлен более чем на миллионе сайтов. Плагин существенно облегчает «переезд» с одного сервера на другой, создавая готовый архив .zip, в котором содержится весь сайт, и файл installer.php, при помощи которого архив можно быстро распаковать в новом месте.
Эксперты Synacktiv заметили, что по окончании работы плагин не удаляет рабочие файлы, включая упомянутый архив и файл PHP. То есть атакующий с легкостью может получить доступ к installer.php, ввести собственные учетные данные для БД и получить временный контроль над сайтом, а также, косвенно, над сервером. Так как у злоумышленника будут привилегии администратора, он сможет использовать их для установки вредоносных плагинов, которые, в свою очередь, могут оставить на сервере скрытые бэкдоры. Таким образом, даже после неминуемого обнаружения такой атаки и ликвидации ее последствий, есть шанс, что внедренный преступниками бэкдор останется незамеченным.
В конце августа 2018 года разработчики выпустили обновленную версию плагина, Duplicator 1.2.42, где проблема была исправлена. Все предыдущие версии считаются уязвимыми. После релиза патча, исследователи Synacktiv опубликовали отчет о своей находке, присовокупив к нему proof-of-concept эксплоит для проблемы.
Теперь представители ИБ-компании Defiant предупреждают, что уже фиксируют резкий прирост сканирований, направленных на поиск уязвимых версий Duplicator. А журналисты издания ZDNet дополняют это предостережение информацией о том, что установки Duplicator можно обнаружить даже на сайтах, входящих в списки лидеров по версии Alexa.