TokyoBlackHatNews

cyberpress.org 4分で読了

OptinMonsterプラグインの脆弱性、120万件のWordPressサイトを攻撃にさらす

人気のWordPressプラグイン「OptinMonster」を標的にした巧妙なサプライチェーン攻撃により、120万件以上のWordPressサイトが危険にさらされました。

Sansecのセキュリティ研究者は、OptinMonster、TrustPulse、PushEngageの各プラグインにCDN経由で配信される正規ファイルに悪意あるJavaScriptが注入されていることを発見しました。攻撃者は個々のサイトに直接手を加えることなく、密かにサイトを侵害していました。

この攻撃は、悪名高い2024年のPolyfilサプライチェーン事件と同様の手口です。脅威アクターは個々のウェブサイトを標的にするのではなく、Awesome Motiveが管理するBunnyNetエンドポイント上の上流CDNファイルを改ざんしました。

a.omappapi.coma.opmnstr.coma.trstplse.comclientcdn.pushengage.comなどのドメインからスクリプトを読み込んでいたWordPressサイトは、ソースから直接悪意あるペイロードを自動的に取得していました。

_pe_tsというキーでlocalStorageに保存される24時間のスロットル処理により、同一セッションでの繰り返し実行が防止されていました。

管理者セッションが確認されると、ペイロードは段階的に実行されます。まずRESTおよびAJAXのnonceを収集し、次にユーザー名developer_api1の不正な管理者アカウントとランダム生成されたdev_xxxxxxアカウントを作成します。

アカウント作成には4つの逐次フォールバック方式(user-new.phpフォーム、admin-ajax.php、RESTエンドポイントwp/v2/users、非表示iframeのフォーム送信)が試みられ、約20の言語による「ユーザーがすでに存在する」という応答も認識できるようになっています。

アカウント作成後、ペイロードは自己隠蔽型PHPバックドアプラグインを密かにアップロードします。盗まれた認証情報、サイトのオリジン、管理パス、WordPressバージョンはキーjX9kM2nP4qR6sT8vを使ってXOR暗号化されます。

インストールされたバックドアプラグインは、完全に検出を回避するよう設計されています。WordPressの管理プラグイン一覧、REST APIエンドポイント、更新チェック、最近アクティブなプラグイン一覧から自身を隠します。

認証不要のエントリポイントが2つ設けられています。system($_POST['cmd'])を実行しファイルアップロードも受け付ける「WPM File Manager & Shell」というウェブシェルと、攻撃者が提供した入力に対してeval(base64_decode(...))を実行する2つ目のエンドポイントです。

研究者は、このプラグインが「Content Delivery Helper」(v2.7.1)として偽装されていたこと、そして現在は「Database Optimizer」(v2.9.4)として偽装されていることを確認しました。C2ドメインを通じてリクエストごとに新しいZIPファイルが生成されています。

Awesome Motiveは公式に認めました。攻撃者はマーケティングサーバー上のUpdraftPlus WordPressプラグインに存在する既知の脆弱性を悪用し、そのサーバーに保存されていたCDN APIキーを取得した上で、顧客に配信されるSDKファイルを改ざんしたとのことです。

最初に確認された悪意ある注入は、2026年6月12日22:17 UTC(協定世界時)に検出されました。Sansecは6月13日にアドバイザリを公開し、OptinMonsterおよびTrustPulseのCDNパスは同日中にクリーンアップされました。

PushEngageは6月14日8:44 UTC(協定世界時)まで注入されたコードを配信し続けていました。Awesome Motiveは6月15日に公式インシデント通知を公開し、侵害の事実と根本原因を確認しました。

6月14日から15日にかけて、13のサイトで不正管理者アカウントの作成を試みる271件の攻撃がアクティブに確認・ブロックされました。そのうち263件はwp/v2/users RESTエンドポイントを標的としており、残りはuser-new.phpadmin-ajax.phpに分散していました。攻撃は81個のユニークIPアドレスから発生しています。

影響を受けたサイト管理者は、バックドアがダッシュボードから積極的に自身を隠すため、管理UIだけに頼らず、ディスク上のユーザーアカウントとwp-content/pluginsディレクトリを直ちに監査してください。

IOC(侵害の痕跡)が見つかった場合は、すべての管理者パスワードとシークレットキーをローテーションし、認証なしでのコード実行が発生した可能性があることを前提として対応してください。

注意: IPアドレスとドメインは、誤った名前解決やハイパーリンクを防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してください。

翻訳元: https://cyberpress.org/optinmonster-plugin-flaw/

ソース: cyberpress.org
#Awesome Motive #CDN改ざん #OptinMonster #PushEngage #Sansec #WordPressセキュリティ #WordPress脆弱性 #サプライチェーン攻撃 #バックドア #不正管理者アカウント

関連記事

UNC1151「Ghostwriter」、Gmailユーザーを標的に2FA認証情報を窃取するフィッシングキャンペーンを展開

OAuth 2.0フローを悪用したデバイスコードフィッシングキャンペーン——Microsoft 365ユーザーを標的に

AIがロシア親派・中国親派アカウントによる「より人間らしい」影響工作を支援