WordPress サイト 28万件に影響:WPGateway Plugin の深刻なゼロデイ脆弱性

Over 280,000 WordPress Sites Attacked Using WPGateway Plugin Zero-Day Vulnerability

2022/09/14 TheHackerNews — WordPress プレミアム・プラグイン WPGateway の最新バージョンに存在する、ゼロデイ脆弱性が活発に悪用されており、攻撃に成功した脅威アクターによるサイトの完全な乗っ取りの可能性が生じている。この脆弱性 CVE-2022-3180 (CVSS : 9.8) は、WPGateway プラグインを実行しているサイトに対して、攻撃者を管理者ユーザーとして追加する武器として使われていると、WordPress セキュリティ企業である Wordfence は指摘している。

Wordfence の研究者である Ram Gall は、「このプラグイン機能の一部に、認証されていない攻撃者が、悪意の管理者を挿入できる脆弱性が露出している」と述べている。


WPGateway は、統一されたダッシュボードからサイト管理者が、WordPress のプラグインやテーマをインストール/バックアップし、クローンを作成する手段として利用されている。このプラグインを実行している Web サイトが侵害されたことを示す、最も一般的な指標は、ユーザー名 “rangex” という管理者が存在することだ。

さらに、アクセスログに “//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1” へのリクエストが現れることは、必ずしも侵入の成功を意味するわけではないが、対象となる WordPress サイトが狙われているサインとなる。

Wordfence によると、過去30日間に 28万以上のサイトにおいて、この脆弱性を悪用する 460万回以上の攻撃をブロックしたとのことだ。

この脆弱性についての詳細は、現時点では非公開とされているが、その理由は、積極的な悪用を防ぎ、また、他の脅威アクターによる悪用を防ぐためである。パッチが提供されないため、ユーザーは修正版が提供されるまで、自身の WordPress インストール環境から、このプラグインを削除することが推奨される。

BackupBuddy という WordPress プラグインに存在する、別のゼロデイ欠陥が悪用されていると、Wordfence が警告した数日後に、この脆弱性が浮上している。

また、Magent-WordPress インテグレーションの人気ベンダーである、FishPig の拡張機能ライセンス・システムに脅威者が侵入するというインシデントがある。そして Sansec が明らかにしたように、Rekoobe というリモートアクセス型トロイの木馬を、インストールするよう設計された悪質なコードが注入されたことも、今回の情報開示につながったようだ。

この記事を読むと、WPGateway プラグインは便利そうで良いですね。Gateway Plugins のメニューをクリックしたら、たくさんのプラグインが表示されました。ベンチそうな反面、プラグインにはセキュリティの問題が起こりがちです。このブログも WordPress ですが、そのようなわけで、.com にホストされている、最小限の機能で運用しています。攻撃面積を少なくするという意味で、これもゼロトラストなのでしょう。

%d bloggers like this: