オーストラリア政府のセキュリティ専門家は、コンテンツ管理システム(CMS)の利用者に対し、製品の脆弱性を悪用しようとする「大規模化した」攻撃活動について警告を発しました。
オーストラリアサイバーセキュリティセンター(ACSC)は7月9日の更新情報で、オーストラリア国内の多数の中小企業が影響を受けていると述べる一方、このキャンペーン自体は世界規模で展開されていると説明しました。
ACSCは「このキャンペーンの一環として、悪意のあるサイバー攻撃者はCMSソフトウェアやプラグインに影響を及ぼすさまざまな脆弱性を利用し、ウェブシェルを設置する機会を求めて積極的にウェブサイトのスキャンを行っています」と説明しています。
「これらの脆弱性の多くは、未認証でのファイルアップロード、リモートコード実行、サーバーサイドリクエストフォージェリ、あるいはデシリアライゼーションを可能にするものです」
関連記事: CMSプロバイダーのSitecore、悪用された重大なゼロデイ脆弱性を修正
ウェブシェルの設置とそれに続くCMSインスタンスへのリモートアクセスにより、脅威アクターはウェブサイトの改ざん、ユーザー認証情報の窃取、マルウェアのアップロード、あるいはウェブサーバーへのアクセスを足がかりにしたより広範なネットワーク侵害を行える可能性があります。
悪用されている脆弱性(CVE)の大半は2025年または2026年に公表されたもので、影響を受ける製品にはWordPress、Craft CMS、MaxSite CMS、MetInfo CMS、Joomla JCEなどが含まれます。
ACSCは、CMSシステムにおけるCVEの急速なスキャンと悪用は、攻撃的なAI活用ツールが使用されている可能性を示していると指摘しています。
ファイブ・アイズの情報機関は先月末、フロンティアAIが「数か月以内」に脅威の様相を「根本的に」変えると警告する異例の共同声明を発表したばかりです。
ACSCからの助言
ACSCはウェブサイト運営者に対し、サーバーに侵害の兆候がないか確認し、以下の対応で修復するよう強く求めています。
- CMS内のウェブシェルおよび脆弱なプラグインの点検
- ウェブシェルの各パスに対してGETまたはPOSTリクエストを行っているIPアドレスがないか、ウェブアクセスログを確認
- ウェブシェルが見つかったサーバーは侵害済みとみなして隔離し、認証状況を監査するとともに、ネットワークログで悪意ある活動の痕跡を確認
- 初期侵入およびウェブシェル設置に関連する過去のウェブリクエストの追跡
- 悪意のあるIPアドレスに関連する通信がないか、ネットワークログを確認
- 永続化、水平移動、その他の悪意ある行動の証拠がないか、ログおよびホストを調査。新規アカウントの作成、情報窃取の試み、マルウェア設置などが該当する
- 再感染を防ぐため脆弱なシステムへのパッチ適用を行い、ウェブシェルなどのマルウェアを削除または隔離
- 侵害されたウェブサイトを、既知の安全な状態の直近のバックアップから復元
この通知ではさらに、CMS運営者に対してソフトウェアを常に最新の状態に保つこと、ファイル作成の監視・ブロック、ファイルおよびパスへのアクセス制限、新規プロセスの監視、そしてより広範なネットワーク侵害の抑制といった対策により、自社ウェブサイトのセキュリティを積極的に強化するよう促しています。
翻訳元: https://www.infosecurity-magazine.com/news/australia-warns-global-cms/