70,000以上のWordPressサイトにインストールされているQuick Page/Post Redirectプラグインには、5年前にバックドアが追加され、ユーザーのサイトに任意のコードを注入することができました。
このマルウェアは、WordPressホスティングプロバイダーAnchorの創業者であるAustin Ginderによって発見されました。彼は、自分のフリート上の12つの感染したサイトがセキュリティアラートをトリガーした後、発見しました。
Quick Page/Post Redirectプラグインは、何年もの間WordPress.orgで利用可能であり、投稿、ページ、カスタムURLでリダイレクトを作成するために使用される基本的なユーティリティプラグインです。
WordPress.orgはレビューの保留中として、ディレクトリからプラグインを一時的に削除しました。プラグインの著者がバックドアを導入したのか、それとも第三者に侵害されたのかは不明です。
Ginderは、2020年から2021年の間にリリースされた公式プラグインバージョン5.2.1と5.2.2には、第三者ドメインのanadnet[.]comを指す隠された自動更新メカニズムが含まれており、WordPress.orgの管理外で任意のコードをプッシュすることが可能だったと説明しています。
2021年2月、コードレビュアーがそれを精査する機会を持つ前に、悪意のある自動更新機能はWordPress.org上の後続バージョンのプラグインから削除されました。
Ginderによると、2021年3月、Quick Page/Post Redirect 5.2.1と5.2.2を実行しているサイトは、その外部サーバーから改ざんされた5.2.3ビルドを静かに受け取りました。これはパッシブバックドアを導入しました。
しかし、追加のバックドアコードを含む‘w.anadnet[.]com’サーバーからのビルドは、WordPress.orgからのプラグインの同じバージョンとは異なるハッシュを持っていました。
パッシブバックドアは、ログアウトしたユーザーに対してのみトリガーされ、管理者からの活動を隠します。これは’the_content’にフックされており、’anadnet’サーバーからデータを取得します。おそらくSEOスパム操作に使用されていました。
「実際のメカニズムはクローキングされたパラサイトSEOでした。プラグインは70,000のウェブサイト上でGoogleランキングを、2021年にそのバックチャネルを運用していた者に貸し出していました。」とGinderは説明しました。
しかし、影響を受けたウェブサイトにとって本当の危険は、更新メカニズム自体から生じます。これはオンデマンドで任意のコード実行を可能にしました。そのメカニズムはまだプラグインを使用しているサイト上に存在していますが、悪意のある外部のコマンド&コントロールサブドメインが解決されていないため、休止状態です。ただし、ドメインはアクティブです。
影響を受けたユーザーの解決策は、プラグインをアンインストールし、WordPress.orgから再度利用可能になったときに、バージョン5.2.4のクリーンコピーで置き換えることです。
Ginderはバックドアの背後にいる者に向けたメッセージを含めました。彼らに今正しいことをするよう促し、影響を受けるすべてのインストールをクリーンなWordPress.orgバージョンに自動的にアップグレードすることを強制する静的更新マニフェストを公開するよう促しました。これにより、以前に侵害されたサイトからバックドアを効果的に削除します。
研究者は、Quick Page/Post Redirectがまだ70,000のインストール数を持っており、更新チェックが’anadnet’サーバーを指していると警告しています。
Mythosが発見したもののうち99%はまだパッチされていません。
AIが4つのゼロデイを1つのエクスプロイトにチェーンして、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。
自律検証サミット(5月12日&14日)では、自律的でコンテキストが豊かな検証がどのように悪用可能なものを見つけ、コントロールが有効であることを証明し、修復ループを閉じるかをご覧ください。
