- Awesome MotiveのマーケティングサーバーにおけるUpdraftPlusプラグインの脆弱性を悪用したCDN侵害と悪意あるJavaScript注入
- マルウェアがログイン中のWordPress管理者を標的にしてトークンを窃取し、不正アカウントを作成して完全乗っ取りを実現
- サイト所有者は偽管理者アカウント(’developer_api1’、’dev_xxxxxx’)・隠れたバックドアプラグインの確認と、認証情報・セキュリティソルトのローテーションを推奨
プラグインの脆弱性を突いた大規模なサプライチェーン攻撃により、100万を超えるWordPressウェブサイトが完全乗っ取りの危機にさらされました。この攻撃は週末にECセキュリティ企業のSansecが発見し、その後、被害を受けた企業によっても確認されています。
研究者によると、ハッカーはOptinMonster、TrustPulse、PushEngageなど複数の人気WordPressプロダクトを手がけるAwesome Motiveのマーケティングサーバー上で動作するUpdraftPlus WordPressプラグインの脆弱性を発見・悪用したとのことです。
脆弱なサーバーは本番環境には含まれていませんでしたが、同社のコンテンツデリバリーネットワーク(CDN)の認証情報が保存されていました。攻撃者は窃取したCDN APIキーを利用して、Awesome MotiveのCDNを通じて配信されるJavaScriptファイルを改ざんすることに成功しました。
管理者のみを標的に
改ざんされたファイルはその後OptinMonster、TrustPulse、PushEngineで使用されたため、攻撃者のJavaScriptがサイト訪問者に配信される状態になりましたが、すべての訪問者が対象になったわけではありませんでした。
マルウェアはログイン中のWordPress管理者が影響を受けたサイトを訪問した場合にのみ起動する仕組みになっており、高い権限を持つユーザーのみを標的にしながら発見を巧みに回避していました。悪意あるスクリプトは管理者の認証トークンとWordPressのnonce(ワンタイムトークン)を収集し、それらを使って新たな管理者アカウントを作成しました。
続いて攻撃者は追加の悪意あるプラグインをインストールし、コマンド&コントロール(C2)インフラを構築して機密データの窃取を開始しました。マルウェアはさらにWebシェル機能、任意のPHPコード実行、ファイル管理機能なども有効化しており、管理者が行えるほぼすべての操作を掌握できる状態でした。
Awesome Motiveが悪意あるCDNスクリプトを削除した後も、攻撃者は不正な管理者アカウントと隠れたバックドアプラグインを通じて、すでに侵害されたウェブサイトの制御を維持し続けています。乗っ取りの危機にさらされているサイトの所有者は、’developer_api1’や’dev_xxxxxx’という名前の不正管理者アカウントを探し出し、wp-content/plugins以下のファイルシステムを直接確認して隠れたバックドアプラグインを検出し、サーバーサイドのマルウェアスキャンを実行することが強く推奨されます。
さらに、管理者パスワード、APIキー、データベース認証情報、WordPressセキュリティソルトのローテーションも速やかに行う必要があります。
