- 公開日
ハッカーはWordPressプラグインの深刻な脆弱性を悪用しようとします
- 著者
- 名前
- AbnAsia.org
- @steven_n_t
"WP 自動プラグインにはパッチが適用されましたが、リリース ノートには重要な修正については記載されていません。
ハッカーはWordPressプラグインの深刻な脆弱性を悪用しようとします
研究者らによると、ハッカーは著名なWordPressプラグインを使用してWebサイトを攻撃し、完全な乗っ取りを可能にする重大度の高い脆弱性を悪用する試みを何百万回も行っているという。
この脆弱性は、38,000 を超える有料顧客を持つプラグインである WordPress Automatic に存在します。 WordPress コンテンツ管理システムを実行している Web サイトは、WordPress コンテンツ管理システムを使用して他のサイトのコンテンツを組み込みます。セキュリティ企業 Patchstack の研究者は先月、WP Automatic バージョン 3.92.0 以下に深刻度 10 段階中 9.9 の脆弱性があることを明らかにしました。プラグイン開発者の ValvePress は、バージョン 3.92 で利用可能なパッチをサイレントに公開しました。 1以降。
研究者らは、CVE-2024-27956 として追跡されているこの欠陥を、Web アプリケーションがバックエンド データベースを適切にクエリできないことに起因する脆弱性の一種である SQL インジェクションとして分類しました。 SQL 構文では、アポストロフィを使用してデータ文字列の始まりと終わりを示します。特別に配置されたアポストロフィを含む文字列を Web サイトの脆弱なフィールドに入力することで、攻撃者は、機密データの返却、管理システム権限の付与、Web アプリの動作の破壊など、さまざまな機密アクションを実行するコードを実行できます。
「この脆弱性は非常に危険であり、大量悪用されることが予想される」とPatchstackの研究者らは3月13日に書いた。
同じ Web セキュリティ企業である WPScan は木曜日、Patchstack による 3 月 13 日の公開以来、この脆弱性を悪用する試みが 550 万件以上記録されたと発表しました。 WPScanによると、この試みはゆっくりと始まり、3月31日にピークに達したという。同社はそのうちの何回が成功したかについては明らかにしていない。
WPScan によると、CVE-2024-27596 により、認証されていない Web サイト訪問者が管理者レベルのユーザー アカウントを作成し、悪意のあるファイルをアップロードし、影響を受けるサイトを完全に制御できるようになります。この脆弱性はプラグインがユーザー認証を処理する方法に存在し、攻撃者が通常の認証プロセスをバイパスし、昇格されたシステム権限を付与する SQL コードを挿入することを可能にします。そこから、機密ファイルの名前を変更する悪意のあるペイロードをアップロードして実行し、サイト所有者やハッカー仲間がハイジャックされたサイトを制御できないようにすることができます。
通常、攻撃が成功すると、次のプロセスが実行されます。
SQL インジェクション (SQLi): 攻撃者は、WP‑Automatic プラグインの SQLi 脆弱性を利用して、不正なデータベース クエリを実行します。
管理者ユーザーの作成: 攻撃者は任意の SQL クエリを実行できるため、WordPress 内に新しい管理者レベルのユーザー アカウントを作成できます。
マルウェアのアップロード: 管理者レベルのアカウントが作成されると、攻撃者は悪意のあるファイル (通常は Web シェルやバックドア) を侵害された Web サイトのサーバーにアップロードできます。
ファイルの名前変更: 攻撃者は、脆弱な WP‑Automatic ファイルの名前を変更して、自分だけがそのファイルを悪用できるようにする可能性があります。
WPScanの研究者は次のように説明しました。
WordPress サイトが侵害されると、攻撃者はバックドアを作成し、コードを難読化することで、アクセスの存続期間を確保します。検出を回避してアクセスを維持するために、攻撃者は脆弱な WP‑Automatic ファイルの名前を変更する可能性もあり、Web サイト所有者やセキュリティ ツールが問題を特定またはブロックすることが困難になります。これは、攻撃者がすでに侵害されているサイトを他の悪意のある者が悪用することを回避する方法でもある可能性があることに言及する価値があります。また、攻撃者は取得した高い権限を使用してサイトにプラグインやテーマをインストールできるため、侵害されたサイトのほとんどに、ファイルのアップロードやコードの編集を可能にするプラグインがインストールされていることがわかりました。
攻撃は、ValvePress がリリース ノートで重要なパッチについて言及せずにバージョン 3.92.1 をリリースしてから 15 日後の 3 月 13 日直後に始まりました。 ValvePressの代表者は説明を求めるメッセージにすぐには応じなかった。
Patchstack と WPScan の研究者は CVE-2024-27956 を SQL インジェクションとして分類していますが、経験豊富な開発者は、この脆弱性を不適切な認証 (CWE-285) か不適切なアクセス制御のサブカテゴリ (CWE-284) のいずれかであると解釈していると述べました。
「Patchstack.comによると、プログラムはSQLクエリを受信して実行することになっているが、許可されたユーザーからのみだ」と開発者は名前を明かしたくなかったがオンラインインタビューで述べた。 「この脆弱性は、クエリを実行する前にユーザーの認証情報をチェックする方法にあり、攻撃者が認証を回避できるようになっています。 SQL インジェクションとは、攻撃者がデータのみであるはずのものに SQL コードを埋め込むことですが、ここでは当てはまりません。」
どのような分類であっても、この脆弱性は深刻です。ユーザーはプラグインに直ちにパッチを適用する必要があります。また、上にリンクされている WPScan 投稿で提供されている侵害データの指標を使用して、サーバーが悪用の兆候がないか慎重に分析する必要があります。"
日本語版は Ai 支援を使用しているため、小さな間違いが存在する可能性があることをご了承ください。 
著者
Ai Base Network (ABN), ABN ASIAは、アカデミアに深く関わり、アメリカ、オランダ、ハンガリー、日本、韓国、シンガポール、ベトナムでの仕事経験を持つ人々によって設立されました。ABN ASIAは、学問とテクノロジーが機会と出会う場所です。最先端のソリューションと優れたソフトウェア開発サービスにより、ビジネスがレベルアップし、グローバルシーンに挑戦できるよう支援しています。 私たちの取り組み: より速く。 より良い。 より信頼性が高くなります。 ほとんどの場合、価格も安くなります。
いつでも、ITサービス、デジタルコンサルティング、既製のソフトウェアソリューション、または提案依頼書(RFP)をお探しの際は、お気軽にお問い合わせください。お問い合わせ先は[email protected]です。お客様のテクノロジーに関するニーズにお応えします。
© ABN ASIA