TokyoBlackHatNews

bleepingcomputer.com 4分で読了

Smart Sliderのアップデートが乗っ取られ、悪意のあるWordPressおよびJoomlaバージョンが配布

Image

ハッカーはWordPressとJoomla用のSmart Slider 3 Proプラグインのアップデートシステムを乗っ取り、複数のバックドアを含む悪意のあるバージョンを配布しました。

開発者によると、プラグインのProバージョン3.5.1.35のみが影響を受けており、直ちに最新バージョン(現在3.5.1.36)または3.5.1.34以前に切り替えることを推奨しています。

悪意のあるアップデートは複数の場所にバックドアをインストールするだけでなく、管理者権限を持つ隠しユーザーを作成し、機密データを盗みました。

WordPress用Smart Slider 3は900,000以上のウェブサイトで使用されており、ライブスライダーエディター経由でレスポンシブスライダーを作成し、大量のレイアウトとデザインを備えています。

ベンダーによると、脅威行為者は4月7日に悪意のあるアップデートを配布し、一部のウェブサイトがそれをインストールした可能性があります。

WordPressとオープンソースソフトウェアのセキュリティに焦点を当てている企業PatchStackの分析によると、マルウェアはSmart Sliderの通常の機能を保持しながらプラグインのメインファイルに埋め込まれた完全に機能する多層ツールキットです。

研究者は、悪意のあるキットにより、遠隔攻撃者が細工されたHTTPヘッダー経由で認証なしにコマンドを実行できることに気付きました。また、PHPのevalとOSコマンド実行の両方を備えた認証済みバックドア、および自動認証情報盗聴も含まれています。

マルウェアは複数の層を通じて永続性を達成しており、その1つが隠しの管理者アカウントの作成とデータベースへの認証情報の保存です。

Image

さらに、「mu-plugins」ディレクトリを作成し、正当なキャッシングコンポーネントになりすましたファイル名を持つ必須プラグインを作成します。

必須プラグインは自動的に読み込まれ、WordPressダッシュボードから無効にできず、プラグインセクションに表示されないという点で特別です。

PatchStackは、悪意のあるキットがアクティブなテーマのfunctions.phpファイルにバックドアを植え付け、テーマがアクティブである限り持続することが可能であると指摘しています。

別の永続性層は、wp-includesディレクトリに正当なWordPressコアクラスを模倣した名前のPHPファイルを注入することです。

「他の永続性層とは異なり、このバックドアはWordPressデータベースに依存せず、同じディレクトリに保存されている.cache_keyファイルから認証キーを読み取ります」とPatchStackの研究者は説明しています

そのため、データベース認証情報を変更しても、バックドアは無力化されず、「WordPressが完全にブートストラップに失敗した場合でも」機能し続けます。

ベンダーはJoomlaのインストールに対して同様の警告を発表しており、プラグインのバージョン3.5.1.35に存在する悪意のあるコードが隠しの管理者アカウント(通常はwpsvc_というプレフィックス付き)を作成し、/キャッシュおよび/メディアディレクトリに追加のバックドアをインストールし、サイト情報と認証情報を盗む可能性があると述べています。

推奨アクション

悪意のあるアップデートは4月7日にユーザーに配布されましたが、Smart Sliderチームは4月5日を最も安全なバックアップ復元日として提案しており、すべてのケースでタイムゾーン差異を考慮する時間を確保しています。

「セキュリティ侵害がWordPress用Smart Slider 3 Proを配布するためのアップデートシステムに影響を与えました」とベンダーの開示に記載されています。

バックアップが利用できない場合、危険なプラグインを削除し、クリーンなバージョン(3.5.1.36)をインストールすることをお勧めします。

危険なプラグインバージョンを見つけた管理者は、サイト全体が危険にさらされていると想定し、次のアクションを実行してください:

  • 悪意のあるユーザー、ファイル、データベースエントリを削除する
  • 信頼できるソースからWordPressコア、プラグイン、およびテーマを再インストールする
  • すべての認証情報を交換する(WP、DB、FTP/SSH、ホスティング、メール)
  • WordPressセキュリティキー(ソルト)を再生成する
  • 残りのマルウェアをスキャンし、ログを確認する

ベンダーはまた、サイトをメンテナンスモードにしてバックアップすることから始まるWordPressとJoomla向けの複数ステップの手動クリーンアップガイドも提供しています。

管理者は、その後、不正な管理者ユーザーをサイトから削除し、すべての悪意のあるコンポーネントを削除し、すべてのコアファイル、プラグイン、およびテーマをインストールする必要があります。すべてのパスワードをリセットし、追加のマルウェアをスキャンすることも推奨されます。

最終的な推奨事項には、二要素認証(2FA)保護を有効化し、コンポーネントを最新バージョンに更新し、管理者アクセスを制限し、ユニークで強力なパスワードを使用してサイトをセキュリティで強化することが含まれます。

翻訳元: https://www.bleepingcomputer.com/news/security/smart-slider-updates-hijacked-to-push-malicious-wordpress-joomla-versions/

ソース: bleepingcomputer.com
#Joomla #Smart Slider 3 #WordPress #サプライチェーン攻撃 #セキュリティ侵害 #バックドア #プラグイン乗っ取り #マルウェア #管理者アカウント #認証情報盗聴

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用