米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、野外で積極的に悪用されているWidget Factory Joomla Content Editor(JCE)プラグインの最大深刻度の脆弱性について、連邦機関にパッチ適用を命じました。
CVE-2026-48907として追跡されているこの脆弱性は、JCE WYSIWYGエディタープラグインを使用するJoomla環境を標的とした低複雑度の攻撃により、権限を持たない脅威アクターがコード実行を達成できるものです。
CISAは火曜日に警告を発し、「Widget Factory Joomla Content Editorには不適切なアクセス制御の脆弱性が存在し、未認証ユーザー向けに新しいエディタープロファイルを作成することで、PHPコードのアップロードおよび実行が可能になる恐れがあります」と述べています。
JCEセキュリティチームは6月初旬にJCE Pro 2.9.99.6をリリースしてこの問題に対処し、ユーザーに対してできるだけ早くインストールをアップデートするよう呼びかけました。
「まだアップデートをお済みでない方は、直ちに実施してください。この脆弱性は積極的に悪用されており、動作するエクスプロイトコードが公開され、攻撃は自動化されています。そのため、公開登録を受け付けていないサイトも安全とは言えません」と同チームは説明しています。
「重要な点として、アップデートによって侵入口は閉じられますが、すでに侵害されたサイトのクリーンアップは行われません。アップデート前に被害を受けた場合、攻撃者が残したものはアップデートでは除去されません。」
侵害されたサイトをクリーンアップするには、まず不正なプロファイルをバックアップして調査に備えた上で、JCE 2.9.99.6以降へのアップデートを実施し、攻撃者のプロファイルを削除してください。次に、管理者アカウント、サイトのデータベース、ホスティングアカウントのすべてのパスワードを変更し、最後にサーバーサイドのマルウェアスキャンを完全に実行して、その他の悪意あるツールやインプラントが設置されていないことを確認することが推奨されています。
火曜日にCISAはこの脆弱性を積極的に悪用されている脆弱性のリストに追加し、拘束的運用指令(BOD)26-04に基づき、連邦文民行政機関(FCEB)に対して金曜日までにシステムを保護するよう命じました。
同サイバーセキュリティ機関は前日、「このタイプの脆弱性は悪意あるサイバーアクターの頻繁な攻撃ベクターであり、連邦のエンタープライズ環境に重大なリスクをもたらします」と警告しました。「クラウドサービスについては適用されるBOD 26-04のガイダンスに従い、緩和策が利用できない場合は製品の使用を停止してください。各資産のインターネット露出状況の評価と、BOD 26-04のパッチ適用ガイドラインへの準拠を確保する責任は、利害関係者にあります。」
CISA BOD 26-04は先週水曜日に発行されており、米国政府機関に対し、各脆弱性の悪用リスクに基づいてパッチ適用を優先するよう求めています。
リスク評価において考慮すべき主な要素には、CISAの既知悪用脆弱性カタログへの掲載有無、脆弱な資産がオンラインで公開されているかどうか、大規模攻撃への自動化が可能かどうか、そして標的システムへの部分的または完全な制御権を攻撃者に与えるかどうかが含まれます。
攻撃者より先に、すべての防御層をテストする
セキュリティチームは成功した攻撃の54%しかログに記録できておらず、アラートを発するのはわずか14%です。残りの攻撃は検知されることなく環境内を移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けないようにする方法を解説しています。
