攻撃者はWebサイトを大規模に侵害し、サーバー上に隠しツールを設置してリモートからの制御を維持しています。このキャンペーンはオーストラリア国内の中小規模組織を数多く標的にしていますが、被害は特定の一国にとどまらず広範囲に及んでいます。オーストラリア・サイバーセキュリティセンター(ACSC)はCMS悪用キャンペーンに関する公式アドバイザリーを発表し、攻撃者が脆弱なCMSプラットフォームやプラグインを狙って自動スキャンを行っていると警告しています。
攻撃者の侵入経路とその後の行動
攻撃者が悪用する脆弱性はいくつかのカテゴリーに分類されます。具体的には、不正なファイルアップロード、サーバーサイドでのコマンド実行、サーバーサイドリクエストフォージェリ(SSRF)、そして細工されたデータ入力の処理などです。
サイトが侵害されると、攻撃者はWebシェルを設置します。このWebシェルはサーバーへの永続的なリモートアクセスを可能にします。犯罪者はこれを通じてサイトを改ざんしたり無効化したりできるほか、訪問者のパスワードを傍受したり、保存されているデータを窃取したりすることも可能です。さらに、マルウェアを展開したり、サーバーを組織内部のネットワークへの侵入口として利用したりすることもできます。
本キャンペーンで悪用された17件のCVE
このキャンペーンは幅広いソフトウェアにまたがる脆弱性を悪用しています。以下のCVEは、悪用が確認されたか、悪用の可能性が高いとみられているものです。
- Simple File List for WordPress — CVE-2020-36847(9.8 Critical)
- WavePlayer for WordPress — CVE-2025-12057(9.8 Critical)
- BerqWP for WordPress — CVE-2025-7443(8.1 High)
- WPBookit for WordPress — CVE-2025-7852(9.8 Critical)
- Ninja Forms File Uploads for WordPress — CVE-2026-0740(9.8 Critical)
- ThemeREX Addons for WordPress — CVE-2026-1969(9.8 Critical)
- Breeze Cache for WordPress — CVE-2026-3844(9.8 Critical)
- pay-uz for WordPress — CVE-2026-31843(10.0 Critical)
- Advanced Custom Fields: Extended for WordPress — CVE-2025-13486(9.8 Critical)
- Sneeit Framework for WordPress — CVE-2025-6389(9.8 Critical)
- WPvivid Backup and Migration for WordPress — CVE-2026-1357(9.8 Critical)
- Gravity Forms for WordPress — CVE-2025-12352(9.8 Critical)
- GutenKit and Hunk Companion for WordPress — CVE-2024-9234(9.8 Critical)— 関連の可能性あり
- Craft CMS — CVE-2025-32432(9.8 Critical)
- MaxSite CMS — CVE-2026-3395(7.3 High)
- MetInfo CMS — CVE-2026-29014(9.8 Critical)
- Joomla Content Editor — CVE-2026-48907(10.0 Critical)
インシデント対応:Webシェル発見時に確認すべきこと
管理者はサイトやプラグインのディレクトリ内を調べ、見覚えのないファイルや最近変更されたファイルがないか確認する必要があります。また、アクセスログを確認し、不審なGETリクエストやPOSTリクエストがないかも見るべきです。Webシェルが発見されたサーバーは、完全に侵害されたものとして扱う必要があります。そのサーバーは直ちにネットワークから隔離しなければなりません。その上で調査担当者は、新規に作成されたユーザーアカウント、マルウェア、データ窃取の試み、システム間の横展開(ラテラルムーブメント)の痕跡を探すべきです。
管理者はまた、それ以前のログ記録も確認し、侵害の起点を特定する必要があります。ネットワークログやファイアウォールの記録からは、感染したサーバーが行った外部への通信が判明することがあります。
修復対応の手順
脆弱なコンポーネントは直ちにアップデートする必要があります。パッチが提供されていないプラグインは、一時的に無効化すべきです。悪意のあるファイルを削除または隔離した後は、調査が完全に完了するまでサーバーをネットワークに復帰させてはいけません。サイトが侵害されていた場合は、直近の健全性が確認されたバックアップからの復元を強く推奨します。
強化のための推奨事項
追加の防御策として、組織は本来変更されるはずのないディレクトリへの書き込みアクセスを制限すべきです。また、Webサーバーが生成する子プロセスも監視する必要があります。公開Webサイトを社内ネットワークから分離することで、防御層をもう一段追加できます。自動セキュリティパッチを有効にすることで、サイトが脆弱な状態にさらされる期間を短縮できます。
すべてのファイル作成を阻止することが現実的でない場合、管理者は承認済みのメンテナンス期間外に発生したファイル変更を監視すべきです。このアプローチにより、Webシェルの早期発見が可能になり、侵害されたサーバー上でWebシェルが稼働する時間を制限できます。
翻訳元: https://meterpreter.org/acsc-cms-web-shell-campaign/