WordPress の Ninja Forms プラグインに深刻な脆弱性:73万のサイトに強制アップデートが適用

730K WordPress sites force-updated to patch critical plugin bug

2022/06/16 BleepingComputer — WordPress サイトで使用されている Ninja Forms で脆弱性が発見され、新しいビルドへの強制アップデートが、今週に入ってから一斉に行われた。この Ninja Forms とは、100万以上のインストール数を誇るフォーム・ビルダープ・ラグインであり、野放し状態で悪用される可能性のある、深刻なセキュリティ欠陥への対処が進められている。この脆弱性は、Ninja Forms Ver 3.0 以降に存在し、複数のリリースに影響するコードインジェクションに起因するものである。

Wordfence の Threat Analyst である Ramuel Gall は、対象となるパッチをリバースエンジニアリングした際に、このバグをリモートで悪用する未認証の攻撃者が、Merge Tags 機能の欠陥を悪用することで、さまざまな Ninja Forms クラスを呼び出すことができることを発見した。

この脆弱性の悪用に成功した攻撃者は、いくつかの悪用チェーンを経由して、パッチの適用されていない WordPress サイトを完全に乗っ取ることができる。具体的に言うと、デシリアライズによるリモートコード実行が生じ、標的となる Web サイトの完全に乗っ取りにいたるという。

Wordfence の Threat Intelligence Lead である Chloe Chamberland は、「私たちは、認証されていない攻撃者が、様々なNinja Formsクラスの限られた数のメソッドを呼び出せる、コードインジェクションの脆弱性を発見した。この脆弱性には、ユーザーが提供したコンテンツをデシリアライズせずに、オブジェクト・インジェクションをもたらすメソッドも含まれる。それにより攻撃者は、別の POP チェーンが存在するサイト上で、任意のコード実行や任意のファイル削除などを行えるようになる」と述べている。

強制アップデートが行われたが、野放しで悪用される可能性も高い

公式には発表されていないが、この欠陥に対するパッチが 6月14日に適用されてからのダウンロード数を見ると、大半の脆弱な Web サイトに対しては、すでに強制アップデートが行われているようだ。

Ninja Forms のダウンロード統計によると、パッチがリリースされて以降のセキュリティ・アップデートは、73万回以上も提供されているとのことだ。このプラグインに関して、パッチ適用済みのバージョンに自動更新されていない場合は、ダッシュボードから手動でセキュリティ・アップデートを適用できる (攻撃に対して安全な最新バージョンは 3.6.11)。

Wordfence のアナリストたちは、このセキュリティ上の欠陥、がすでに進行中の攻撃で悪用されていることを示す証拠も発見している。Chamberland は、「WordPress では、このプラグインに対する強制自動更新が行われたようなので、すでにパッチが適用されたバージョンを使用している Admin がいるかもしれない」と付け加えている。

Ninja Forms force-update installs
Ninja Forms force-update installs

強制アップデートは致命的なバグを修正するために使用される

今回の出来事は、WordPress CRM を運営する Automattic が、何十万/何百万ものサイトで生じた深刻なセキュリティ欠陥を迅速に修正するために、強制アップデートを用いた過去の事例と一致している。

2020年10月に WordPress の開発者である Samuel Wood は、WordPress 3.7 のリリース以来、Automattic は強制セキュリティ更新を用いて、プラグインのセキュリティ・リリースを何度もプッシュしてきたと述べている。

Automattic のセキュリティ研究者であるMarc Montpas も、「この強制パッチは、きわめて稀で例外的に厳しいケースでは、その管理者の設定に関係なく使用される」と、この2月に BleepingComputer に対して語っていた。

例えば、2019年に Jetpack は、プラグインにおけるエンベッド・コード処理に関するバグにより、セキュリティ・アップデートを受けている。その他にも、2016年5月の Jetpack ショートコード処理の問題や、2018年12月の Jetpack Contact Form ブロックの問題、そして、2021年6月の Auth ロジックの問題などに対する、強制セキュリティ・アップデートが実施されている。

最近では 2022年2月に、UpdraftPlus プラグインを使用している 300万件の Web サイトに強制パッチが適用され、サブスクライバーにデータベース・バックアップのダウンロードを許すという脆弱性を解消している。

WordPress の脆弱性について、お隣のキュレーション・チームに聞いてみましたが、数え切れないほどの問題が各種のプラグインで発生しているとのことでした。とてもではないが、すべてを拾いきれないとも言っていました。最近ですと、6月1日の「YODA という WordPress 検査ツール:24,000 のサイトで 47,000 の悪意の Plugin を検出」が、このプラグインの問題について現状を説明してくれます。また、よろしければ、WordPress で検索も、ご利用ください。

%d bloggers like this: