広範囲にわたる悪用キャンペーンが、リモートコード実行（RCE）を実現できる重大な古いセキュリティ問題を抱えたGutenKitおよびHunk Companionプラグインを使用しているWordPressウェブサイトを標的にしています。

WordPressセキュリティ企業のWordfenceによると、10月8日と9日のわずか2日間で、顧客に対する攻撃試行を870万回ブロックしたと報告しています。

このキャンペーンは、CVE-2024-9234、CVE-2024-9707、CVE-2024-11972として追跡されている3つの脆弱性を悪用しており、いずれも重大（CVSS 9.8）と評価されています。

CVE-2024-9234は、GutenKitプラグイン（インストール数40,000件）に存在する認証不要のRESTエンドポイントの脆弱性で、認証なしで任意のプラグインをインストールできてしまいます。

CVE-2024-9707およびCVE-2024-11972は、Hunk Companionプラグイン（インストール数8,000件）のthemehunk-import RESTエンドポイントにおける認可不足の脆弱性で、こちらも任意のプラグインのインストールにつながります。

認証済みの攻撃者は、これらの脆弱性を利用してリモートコード実行を可能にする別の脆弱なプラグインを導入することができます。

• CVE-2024-9234はGutenKit 2.1.0以前に影響
• CVE-2024-9707はHunk Companion 1.8.4以前に影響
• CVE-2024-11972はHunk Companion 1.8.5以前のバージョンに影響

これら3つの脆弱性の修正は、2024年10月リリースのGutenkit 2.1.1および2024年12月リリースのHunk Companion 1.9.0で提供されました。しかし、ベンダーがほぼ1年前に修正したにもかかわらず、多くのウェブサイトが依然として脆弱なバージョンを使用し続けています。

攻撃データに基づくWordfenceの観察によると、研究者らは脅威アクターがGitHub上に「up」という名前の.ZIPアーカイブで悪意のあるプラグインをホスティングしていると述べています。

このアーカイブには、ファイルのアップロード、ダウンロード、削除、権限変更を可能にする難読化されたスクリプトが含まれています。そのうちの1つはパスワードで保護されており、「All in One SEO」プラグインのコンポーネントを装って、攻撃者が自動的に管理者としてログインできるようにします。

攻撃者はこれらのツールを使って持続性を維持し、ファイルの窃取や設置、コマンドの実行、サイトが扱う機密データのスニッフィングなどを行います。

攻撃者がインストール済みパッケージ経由で直接フル管理者のバックドアに到達できない場合、多くの場合、認証不要でRCEが可能な脆弱な「wp-query-console」プラグインをインストールします。

Wordfenceは、これらの悪意あるリクエストを大量に発生させている複数のIPアドレスをリストアップしており、これが攻撃防御の構築に役立ちます。

侵害の兆候として、研究者らは管理者がサイトのアクセスログで/wp-json/gutenkit/v1/install-active-pluginおよび/wp-json/hc/v1/themehunk-importリクエストを探すべきだと述べています。

また、/up、/background-image-cropper、/ultra-seo-processor-wp、/oke、/wp-query-consoleディレクトリに不審なエントリがないかも確認する必要があります。

管理者は、すべてのプラグインをベンダーから入手可能な最新バージョンに更新しておくことが推奨されます。