Массовый взлом WordPress
В сети зафиксировано массовое поражение блогов построенных на базе свободной платформы WordPress.
🕛 05.08.2011, 02:46
Угроза касается публикации информации об уязвимости в популярном дополнении Timthumb.php, используемом для изменения размера фотографий во многих визуальных темах к WordPress. Все темы WordPress, в состав которых входит Timthumb.php, подвержены опасной уязвимости, позволяющей злоумышленнику запустить свой PHP-код на сервере.Проблема связана с тем, что при проверке домена с которого допускается загрузка фотографий используется оценка наличия маски в URL, т.е. злоумышленник может указать в качестве изображения адрес "badscript.php" и Timthumb.php загрузит его в кэш, который является поддиректорией в корневом каталоге WordPress, в которой в 99% случаях оставлены полномочия запуска PHP-скриптов. В дальнейшем, PHP-код может быть выполнен после прямого обращения к загруженному в кэш файлу.
Уязвимость устранена в SVN-репозитории проекта, но исправления реализовано в лоб, через регулярное выражение для проверки корректности URL. Проблема с загрузкой файлов в кэш, в котором возможно выполнение PHP-файлов, не рассмотрена. В качестве временного решения рекомендуется убрать из массива allowedSites, присутствующего в файле timthumb.php, упоминание возможности прямой загрузки файлов с внешних сервисов. Если функции изменения размера изображений не используются, то рекомендуется удалить файл timthumb.php с сервера.
В сети уже зафиксированы факты успешной эксплуатации уязвимости и загрузки на сервер web-консоли "Alucar Shell". По предварительной оценке, основанной на выборке потенциально проблемных страниц через Google, уязвимости подвержено около 39 миллионов сайтов, использующих скрипт timthumb.php. Для взлома скрипт не обязательно должен быть задействован на сайте, достаточно наличия возможности прямого обращения к нему через web.