WordPress にサプライチェーン攻撃の可能性:93 のテーマ/プラグインにバックドア

Over 90 WordPress themes, plugins backdoored in supply chain attack

2022/01/21 BleepingComputer — 大規模なサプライ・チェーン攻撃により、WordPress の 93個のテーマとプラグインが侵害され、バックドアが含まれていたことで、脅威アクターは Web サイトへのフルアクセスを手に入れている。この攻撃では、36万件以上の Web サイトで使用されている WordPress に対して、アドオンを開発している AccessPress のテーマ 40個とプラグイン 53個が侵害されている。

この攻撃は、WordPress サイトのセキュリティおよび最適化ツールを開発している Jetpack の研究者たちにより発見され、テーマとプラグインに PHP バックドアが追加されていることが判明した。Jetpack は、外部の脅威アクターが AccessPress の Web サイトに侵入し、ソフトウェアを危険にさらし、さらに多くの WordPress サイトに感染させたと考えている。

完全な制御を可能にするバックドア

侵害された AccessPress 製品を、WordPress 管理者がサイトにインストールすると直ぐに、脅威アクターは新しい initial.php ファイルをメインのテーマ・ディレクトリに追加し、メインの functions.php ファイルに取り込ませる。このファイルには、”./wp-includes/vars.php” ファイルに対して、Web シェルを書き込む Base64 エンコードされたペイロードが含まれていた。悪意のコードは、ペイロードを解読して vars.php ファイルに注入することで、バックドアのインストールを完了させ、感染したサイトの脅威アクターによるリモート操作を可能にしていた。

この脅威を検知する唯一の方法は、コアファイル整合性監視ソリューションを使用することだ。なぜなら、このマルウェアは痕跡を消すために、initial.php ファイルのドロッパーを削除しているからだ。行為者の目的を把握するために本件を調査した Sucuri 研究者たちによると、脅威アクターはバックドアを利用して、訪問者をマルウェア投下サイトや詐欺サイトにリダイレクトしていた。したがって、このキャンペーンは、それほど高度なものではない。

また、このマルウェアを使用する脅威アクターが、ダークウェブ上でバックドア付きの Wev サイトへのアクセスを販売していた可能性もあり、このような大規模な感染をマネタイズするには効果的な方法と言える。

私は影響を受けますか?

感染したプラグインやテーマを自身のサイトにインストールしている場合、それらを削除/交換/更新しても、そこに仕掛けられた Web シェルを根絶することはできない。
そのため、Web サイト管理者に対しては、以下の方法でサイトをスキャンし、危険な兆候の有無を確認することが推奨される。

  • wp-includes/vars.php ファイルの 146 行目〜158 行目あたりを確認する。難読化されたコードとともに “wp_is_mobile_fix” 関数が表示されていたら、侵害されていることになる。
  • ファイル・システムに “wp_is_mobile_fix” および “wp-theme-connect” をクエリーし、影響を受けるファイルの有無を確認する。
  • WordPress のコア・ファイルを新しいものと交換する。
  • 影響を受けるプラグインをアップグレードし、別のテーマに切り替える。
  • wp-admin とデータベースのパスワードを変更する。

    Jetpack は、サイトが感染しているかどうかを確認し、ドロッパーとインストール済の Web シェルの双方を検出する、YARA ルール を提供している。

    9月に検出されたバックドア

    Jetpack がバックドアを最初に検出したのは2021年9月であり、その直後から研究者たちは、このベンダーに属する全ての無料プラグイン/テーマが、脅威アクターにより侵害されていることを発見した。Jetpack は、有料の AccessPress アドオンが侵害されている可能性が高いと考えているが、それらをテストしていないため確認できないとしている。

    タイムスタンプを見ると、ほとんどの製品が9月初旬に侵害されている可能性がある。
    2021年10月15日に、このベンダーは、侵害された箇所を特定して修正するまでとして、公式ダウンロード・ポータルから拡張機能を削除した。2022年1月17日に、AccessPress は、影響を受けた全てのプラグインの「クリーン」な新バージョンをリリースした。

    しかし、影響を受けたテーマは、未だクリーンアップされていないため、別のテーマに移行することが、セキュリティ・リスクを軽減する唯一の方法となる。AccessPress のプラグインおよびテーマを使用しているユーザーは、修正された製品の全リストを Jetpack の投稿で読むことが可能だ。Bleeping Computer では、今回の侵害について AccessPress に問い合わせを試みたが、問い合わせフォームが機能していなかった。

年が明けてからというもの、WordPress に関するトピックが多いようです。まず、1月10日の「WordPress 5.8.3 がリリース:SQL injection/XSS などの脆弱性に対応」があり、1月16日には「WordPress プラグインの深刻な脆弱性 CVE-2022-0215:Web サイト 84,000 件に影響」という、かなり深刻なインシデントが起こっています。そして、今回は、AccessPress のテーマとプラグインに大きな問題が生じています。実は、このブログも WordPress なのですが、.com に置いて、プラグインは使わないという方針で運用しています。安全第一です。

%d bloggers like this: