(画像クレジット:Pixabay)
- 未修正のGutenKitおよびHunk Companionプラグインが大規模なWordPress攻撃で悪用
- 攻撃者は「up」プラグインを使って管理者権限を取得し、マルウェアを展開
- Wordfenceは48時間で870万回の攻撃をブロック、アップデートは依然として重要
2つのWordPressプラグインで発見され、1年以上前に修正された3つの重大な脆弱性が、いまだに修正されていないウェブサイトに対して大規模な攻撃で悪用されています。
WordPressのセキュリティ専門家Wordfenceは、GutenKitとHunk Companionを利用した攻撃試行を約48時間で870万回以上ブロックしたと発表しました。
前者はGutenbergに多数の追加ブロック、テンプレート、レイアウトツールを加えるもので、後者はThemeHunkテーマ用の「ヘルパー」プラグインで、「チーム」「サービス」「ポートフォリオ」「スライダー」などのセクションを追加します。
GitHub上の悪意あるペイロード
2024年10月から12月にかけて、これらのプラグインで3つの脆弱性(CVE-2024-9234、CVE-2024-9707、CVE-2024-11972)が発見・修正されました。いずれも重大(9.8/10)と評価されており、脅威アクターが任意のプラグインをインストールし、脆弱なサイトで悪意あるコードを実行することが可能です。
現在、脅威アクターは多くのサイトが修正を適用していないことを利用しています。
Wordfenceによると、ハッカーはこれらの脆弱性を使って「up」という悪意あるプラグインをインストールしており、これはGitHub上でZIPアーカイブとしてホストされています。
このプラグインにより、脅威アクターはサイトからファイルのアップロード、ダウンロード、削除ができるほか、サイトの権限を改ざんすることも可能です。また、脆弱なウェブサイトに自動的に管理者としてログインすることもできます。
Wordfenceはさらに、攻撃者が「up」を使って永続化の設定、情報の窃取、追加のマルウェアの設置なども行っていると述べています。
最高のウェブサイトビルダープラットフォームの一つであるWordPressは、サイバー犯罪者にとって人気のターゲットです。しかし、一般的に安全とされているため、攻撃者はしばしばテーマやプラグインを狙います。これらはしばしば脆弱であったり、サポートが終了していることが多いからです。
リスクを軽減する最善の方法は、実際に使用しているプラグインやテーマのみを保持し、常に最新の状態に保つことです。
