WordPress プラグイン BackupBuddy のゼロデイが FIX:500万回もの攻撃が試行

Hackers Exploit Zero-Day in WordPress BackupBuddy Plugin in ~5 Million Attempts

2022/09/09 TheHackerNews — WordPress のセキュリティ企業である Wordfence は、WordPress プラグイン BackupBuddy のゼロデイ脆弱性の活発な悪用を明らかにした。同社は、「この脆弱性の悪用に成功した未認証のユーザーは、標的となるサイトから、機密情報を含む任意のファイルをダウンロードできる」と述べている。

BackupBuddy は、テーマファイル/ページ/投稿/ウィジェット/ユーザー/メディアファイルなどを含む、WordPress のインストール全体を、ダッシュボード内からバックアップするためのプラグインである。

このプラグインは、約 14万件のアクティブ・インストールがあると推定されている。また、脆弱性 CVE-2022-31474 (CVSS:7.5) は、BackupBuddy 8.5.8.0〜8.7.4.1 に影響を及ぼすが、2022年9月2日にリリースされた、バージョン 8.7.5 で対処されている。

この脆弱性は、バックアップのローカルコピーを保存する機能 Local Directory Copy に起因する。Wordfence によると、この脆弱性は、安全が確保されない実装に起因し、未認証の脅威者に対して、サーバー上の任意のファイルのダウンロードを許す可能性があるという。

WordPress BackupBuddy Plugin


この不具合は、実際に悪用されており、またその悪用が容易であることから、詳細な情報は公開されていない。

同プラグインの開発元である iThemes は、「この脆弱性により、攻撃者は、WordPress のインストールにより読み取れる、サーバー上のあらゆるファイルの閲覧が可能になる。閲覧可能になるものには、WordPress の wp-config.php ファイルや、サーバーの設定によっては、/etc/passwd のような機密ファイルも含まれる可能性がある」と述べている。

Wordfence は、CVE-2022-31474 の悪用は 2022年8月26日に始まり、これまでに約 500万件の攻撃をブロックしてきたと指摘している。侵入の多くは、以下のファイルの読み取りを試みているという。

  • /etc/passwd
  • /wp-config.php
  • .my.cnf
  • .accesshash

BackupBuddy プラグインのユーザーに対しては、最新版へのアップグレードが推奨される。万が一、危険にさらされたと判断した場合は、データベースのパスワードのリセット/WordPress Salts の変更/wp-config.php に保存されている API キーのローテーションなどを実施してほしい。

WordPress に限った話ではありませんが、バックアップは面倒な作業です。少しでも、簡単/簡潔に処理したいというユーザーは、何らかのプラグインに頼ることになりますが、すべての情報が取り込まれているだけに、このような脆弱性が怖いですね。最近の WordPress プラグインの問題としては、8月31日の「WordPress Plugin マーケットプレイス調査:大量の悪意のプラグインと感染経路が判明」や、7月15日の「WordPress Plugin の脆弱性:160万のサイトをスキャンするキャンペーンが見つかった」などがあります。よろしければ、WordPress で検索も、ご利用ください。

%d bloggers like this: