TokyoBlackHatNews

bleepingcomputer.com 5分で読了

OptinMonster WordPressプラグイン、CDNサプライチェーン攻撃でハッキング被害

WordPressプラグインのOptinMonster、TrustPulse、PushEngageが、Awesome MotiveのCDN(コンテンツデリバリーネットワーク)を標的としたサプライチェーン攻撃により侵害されました。

3製品のうち、リード獲得・コンバージョン最適化プラットフォームであるOptinMonsterが最も広く普及しており、少なくとも120万のWebサイトで使用されています。

Eコマースセキュリティ企業のSansecが週末にこの攻撃を発見しました。金曜日のUTC 22:17〜22:42の間、悪意あるスクリプトが何も知らないOptinMonsterおよびTrustPulseのユーザーに配信されていたことが確認されています。

PushEngageについては、土曜日のUTC 19:02まで悪意あるJavaScriptコードが配信され続けていました。

このマルウェアは、WordPressの管理者が感染したWebサイトのページを訪問したときにのみ作動し、認証トークンとnonceを収集してそれらを悪用し、不正な管理者アカウントを作成しました。

攻撃者はその後、自己隠蔽型のバックドアプラグインをインストールし、Tidioを偽装したドメインとの通信チャネルを確立して、新たに窃取したデータを送信していました。

このプラグインにはWebシェル(「WPM File Manager & Shell」)や任意のPHPコード実行機能など、完全なリモートアクセス機能も備わっており、攻撃者は侵害したWebサイトを完全に掌握できる状態でした。

「攻撃者はプラグインの偽装を次々と切り替えながら、名前を変えても内部ロジックのバイト列は完全に同一のままにしています」とSansecは述べています

「『Content Delivery Helper』(content-delivery-helper、v2.7.1)として、そして現在は『Database Optimizer』(database-optimizer、v2.9.4)として配布されているのを確認しています。」

Awesome Motiveは本日、このインシデントに関するセキュリティアドバイザリを公開しました。それによると、WordPressプラグイン「UpdraftPlus」の既知の脆弱性を悪用され、同社環境内のサーバーへの不正アクセスを許したとのことです。

このサーバーはマーケティングサイトをホストしており、同社の本番インフラやデータシステムとは接続されていませんでしたが、同社のCDNアカウントの認証情報が保存されており、それが攻撃者に窃取されました。

窃取したCDN APIキーを使用して、攻撃者はAwesome MotiveのCDNを通じて配信されるJavaScriptファイルを改ざんし、Webサイトが知らぬ間にCDNから直接悪意あるコードを読み込むよう仕向けました。

影響を受けたファイルは以下のとおりです:

  1. a.omappapi.com/app/js/api.min.js – OptinMonster
  2. a.opmnstr.com/app/js/api.min.js – OptinMonster
  3. a.optnmstr.com/app/js/api.min.js – OptinMonster
  4. a.trstplse.com/app/js/api.min.js – TrustPulse

Awesome Motiveによると、悪意あるスクリプトが配信されたのは6月12日の短時間に限られており、OptinMonsterとTrustPulseが対象でした。ただし、PushEngageへの影響については明らかにしていません。

「マーケティングサイトはすでに修復を完了し、新しいサーバーへ移行するとともに、CDN APIキーを含むすべての認証情報をローテーションしました」とAwesome Motiveは述べています

同社はまた、アプリケーションサーバー、ソースコード、プラグインホスティングサーバーは侵害されていないとも断言しています。

「アプリケーションサーバー、ソースコード、およびOptinMonsterとTrustPulseのアカウント情報を保管しているシステムはすべて独立した環境に置かれており、今回の侵害を受けていません」と同社は説明しています。

「当社が保有するアカウントデータや個人情報がアクセスされた証拠は確認されていません。」

影響を受けた可能性があるサイトオーナーには、以下の対応が推奨されます:

  • 不正管理者アカウント「developer_api1」または「dev_xxxxxx」の確認と削除
  • wp-content/plugins 配下のファイルシステムを直接確認し、隠蔽されたバックドアプラグインを検出
  • サーバーサイドのマルウェアスキャンを実行
  • 管理者パスワード、APIキー、データベース認証情報、WordPressセキュリティソルトのローテーション

悪意あるコンテンツはすでに削除されていますが、不正な管理者アカウントや隠蔽されたバックドアプラグインが残っている限り、攻撃者は侵害されたWebサイトへのアクセスを維持し続けます。

攻撃者より先に、あらゆる層をテスト

セキュリティチームが記録できる攻撃成功は全体の54%にとどまり、アラートを発動できるのはわずか14%です。残りの攻撃は、あなたの環境を気づかれることなく通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)によってSIEMとEDRのルールをテストし、脅威が検出をすり抜けないようにする方法を解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/optinmonster-wordpress-plugin-hacked-in-cdn-supply-chain-attack/

ソース: bleepingcomputer.com
#Awesome Motive #CDN侵害 #JavaScriptインジェクション #OptinMonster #UpdraftPlus脆弱性 #Webサイトセキュリティ #WordPressプラグイン #サプライチェーン攻撃 #バックドア #マルウェア配信

関連記事

CiscoがゼロデイAttacksで悪用されたSD-WAN vManageの脆弱性を修正

欧州評議会、ShinyHuntersによるデータ侵害の主張を調査

FBI:詐欺師が配達員を使って暗号資産詐欺の被害者から金銭を窃取