OptinMonsterのサプライチェーン攻撃、120万サイトに影響

人気WordPressプラグインがサプライチェーン攻撃の標的となりました。今回の攻撃では、プラグイン自体が直接侵害されたわけではなく、その配布を担うインフラが狙われました。被害を受けたのは、Awesome Motiveが提供する3つのプラグイン「OptinMonster」「TrustPulse」「PushEngage」です。OptinMonsterだけでも少なくとも120万サイトで使用されており、リード獲得やコンバージョン最適化のツールとして広く普及しています。この攻撃を発見したのは、eコマースセキュリティを専門とするセキュリティ企業Sansecです。

攻撃者の侵入経路

攻撃者は、UpdraftPlusプラグインの既知の脆弱性を悪用して、Awesome Motiveが所有する補助的なマーケティングサーバへのアクセスを獲得しました。このサーバは同社のコア本番インフラとは切り離された存在でしたが、コンテンツデリバリーネットワーク(CDN)アカウントの認証情報が保存されていました。攻撃者はこのAPIキーを入手し、CDNがプラグインユーザーへ配信していたJavaScriptファイルをすり替えました。

不正スクリプトから管理者バックドアへ

不正なスクリプトは、WordPress管理者が感染したページを訪問するたびに実行されました。注入されたコードは認証トークンを傍受し、不正な管理者アカウントを作成します。その後、Webシェルとリモートコード実行機能を備えた隠しバックドアプラグインがインストールされました。盗み出されたデータは、正規のTidioサービスを模した偽ドメインを経由して外部へ送信されました。検出を困難にするため、バックドアプラグインは定期的に表示名を変更し、「Content Delivery Helper」や「Database Optimizer」などに偽装することもありました。

侵害のタイムライン

不正スクリプトは6月12日に拡散を開始しました。OptinMonsterとTrustPulseは数時間以内に影響を受け、PushEngageは6月14日まで侵害状態が続きました。Awesome Motiveはその後、サーバを復旧させ新しいプラットフォームへ移行するとともに、CDN APIキーを含むすべての認証情報をローテーションしました。同社によると、ソースコード、アプリケーションサーバー、および顧客データは今回の事象を通じて影響を受けなかったとのことです。技術的な詳細については、Sansecによる攻撃の詳細調査レポートをご参照ください。

サイト管理者が確認すべき事項

6月12日から6月13日の間にこれらのプラグインを使用していた場合は、管理者ダッシュボードで「developer_api1」や「dev_」で始まる見覚えのないアカウントが存在しないか確認してください。また、「wp-content/plugins」ディレクトリに不審な隠しプラグインがないかスキャンすることもお勧めします。さらに、サーバ全体のマルウェアスキャンを実施し、管理者パスワード、APIキー、データベース認証情報、WordPressセキュリティキーをローテーションしてください。

脅威はまだ終わっていない

CDNから不正スクリプトが削除された現在も、バックドアプラグインや不正な管理者アカウントが残ったままのサイトは、依然として攻撃者に制御されている状態にあります。

翻訳元: https://meterpreter.org/optinmonster-supply-chain-attack-wordpress/

ソース: meterpreter.org