WordPress サイトを標的とする Linux マルウェア:20種類以上のテーマ/プラグインを悪用

WordPress Security Alert: New Linux Malware Exploiting Over Two Dozen CMS Flaws

2022/01/02 TheHackerNews — WordPressサイトを標的とする未知の Linuxマルウェアが、20数種類のプラグイン/テーマの欠陥を悪用して、脆弱なシステムを侵害していることが判明した。ロシアのセキュリティ・ベンダーである Doctor Web は、「もし、対象となる WordPress サイトが、重要な修正を行っていない場合や、古いバージョンのアドオンを使用している場合には、標的となる Web ページに悪意の JavaScript が注入される恐れがある。その結果として、攻撃されたページの任意の領域をユーザーがクリックすると、他のサイトにリダイレクトされる」と、先週のレポートで説明している。

この攻撃は、WordPress サイトにインストールされているかもしれない、19種類のプラグインやテーマの既知のセキュリティ脆弱性を対象にして、特定の Web サイトをターゲットにするインプラントを展開し、さらにネットワークを拡大していくものだ。

また、攻撃者が選択した任意の Web サイトへと、サイト訪問者をリダイレクトさせるための、リモート・サーバから取得する JavaScript コード注入も可能だという。

Doctor Web によると、新たな Command and Control (C2) ドメインを使用する、バックドアのバージョン2を確認し、11種類のプラグインにまたがる脆弱性のリストを更新したところ、対象の合計は 30種類に増えたとのことだ。

対象となるプラグインおよびテーマは以下の通りだ。

  • WP Live Chat Support
  • Yuzo Related Posts
  • Yellow Pencil Visual CSS Style Editor
  • Easy WP SMTP
  • WP GDPR Compliance
  • Newspaper (CVE-2016-10972)
  • Thim Core
  • Smart Google Code Inserter (discontinued as of January 28, 2022)
  • Total Donations
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Live Chat with Messenger Customer Chat by Zotabox
  • Blog Designer
  • WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration (WP-Piwik)
  • ND Shortcodes
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid
  • Brizy
  • FV Flowplayer Video Player
  • WooCommerce
  • Coming Soon Page & Maintenance Mode
  • Onetone
  • Simple Fields
  • Delucks SEO
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher, and
  • Rich Reviews

どちらのバージョンも、WordPress の管理者アカウントをブルートフォース攻撃するための、未実装のメソッドを含んでいると言われているが、それが以前のバージョンの名残なのか、未実装の機能なのかは明らかではない。

同社は、「このようなオプションが、新バージョンのバックドアに実装された場合には、一連の脆弱性に対するパッチが適用された、最新のプラグインを使用している Web サイトであっても、脅威アクターによる攻撃が成功する可能性が生じる」と述べている。

WordPress のユーザーは、サードパーティのアドオンやテーマを含め、同プラットフォーム上の全コンポーネントを最新に保つことが推奨される。また、アカウントを保護するために、強力でユニークなログイン名とパスワードを使用することも推奨されている。

このボットネットは、WordPress の Content Management System (CMS) を使用してセルフホスト型の Web サイトをブルートフォースで操作し、標的のシステムを掌握するように設計されている。

2022年11月に、Sucuri は、訪問者を偽の Q&A ポータルにリダイレクトする悪質なキャンペーンの一環として、15,000以上の WordPress サイトが侵害されたことを指摘している。現時点での感染者数は、9,314件となっている。

また同社は、2022年6月に、Parrot TDS (Traffic Direction System) が、ハッキングしたシステム上に追加のマルウェアをドロップする JavaScript により、WordPress サイトを標的にしていることが確認されたという情報も共有している。

WordPress サイトで用いられる、各種のテーマ/プラグインの脆弱性を悪用し、さらにはブルートフォース機能を実装するかもしれないという、このプラットフォームへの攻撃に特化したマルウェアのようです。2022年12月13日にも、「GoTrim ボットネットのブルートフォース攻撃:WordPress サイトを狙っている」という記事をポストしていますが、相変わらず WordPress サイトへの攻撃が止まりませんね。よろしければ、WordPress で検索も、ご利用ください。

%d bloggers like this: