WordPress プラグイン Elementor Pro に深刻な脆弱性:現時点で 1100万サイトにインストール

Hackers exploit bug in Elementor Pro WordPress plugin with 11M installs

2023/03/31 BleepingComputer — 1100万以上の Web サイトで使用されている、人気の WordPress プラグイン Elementor Pro の深刻な脆弱性が、ハッカーたちに積極的に悪用されている。Elementor Pro が提供する機能には、ドラッグ&ドロップ/テーマ構築/テンプレート・コレクション/カスタム・ウィジェットのサポートに加えて、オンライン・ショップ用の WooCommerce ビルダーなどがある。そのため、ユーザーがコードを知らなくても、プロフェッショナルなサイトを簡単に構築できる、WordPress ページ・ビルダー・プラグインとして人気を博している。


この脆弱性は、NinTechNet の研究者である Jerome Bruandet が、2023年3月18日に発見したものであり、WooCommerce と一緒にインストールすると、このバグが悪用されるという仕組みについて、今週に技術的な詳細が共有された。

この問題は、v3.11.6 以前の、すべてのバージョンに影響し、認証されたユーザーであるショップの顧客やサイト・メンバーなどによる、サイトの設定変更や完全な乗っ取りにいたる恐れがある。

Jerome Bruandet は、「この脆弱性は、プラグインである WooCommerce モジュール “elementor-pro/modules/woocommerce/module.php” の壊れたアクセス制御に起因するものであり、データベース内の WordPress オプションを、適切な検証なしに、誰もが変更できる」と説明している。

この欠陥は、脆弱な AJAX アクションである “pro_woocommerce_update_page_option” を介して悪用される。このアクションの実装は、入力バリデーションと能力チェックの不足という点で不十分である。

Jerome Bruandet は、「この脆弱性を悪用する認証済の攻撃者は、登録を有効にした後に、デフォルトのロールを administrator 設定できる。そのため、管理者アカウントの作成/管理者の電子メールアドレス変更/siteurl の変更などが可能となり、すべてのトラフィックを外部の悪意の Web サイトにリダイレクトすることも可能となる」と、このバグに関する技術文書で説明している。

Creating a malicious redirection
Creating a malicious redirection (blog.nintechnet.com)

なお、この脆弱性を悪用する前提として、WooCommerce プラグインのインストールが必要であり、それにより Elementor Pro で対応する、脆弱なモジュールが有効化される。

Elementor プラグインのバグが積極的に悪用

WordPress のセキュリティ会社である PatchStack は、この Elementor Pro プラグインの脆弱性を積極的に悪用するハッカーたちが、訪問者を悪意のあるドメイン “away[.]trackerline[.]com” へリダイレクトし、また、侵入したサイトにバックドアをアップロードしていると報告している。

PatchStack によると、これらの攻撃でアップロードされたバックドアは、wp-resortpark.zip/wp-rate.php/lll.zip という名前になっているようだ。

これらのバックドアに関する詳細は、それほど提供されていないが、リモートから侵害済のサーバへ向けて、追加のファイルをアップロードするための、PHP スクリプトを含む lll.zip アーカイブのサンプルを、BleepingComputerは発見した。

このバックドアにより、攻撃者は WordPress サイトへの完全なアクセスを確立し、データ窃取や悪意のコードのインストールなどを可能にする。

PatchStack によると、脆弱な Web サイトを標的とした攻撃の多くは、以下の3つの IP アドレスから発信されているため、それらをブロック・リストに追加することが推奨されている:

  • 193.169.194.63
  • 193.169.195.64
  • 194.135.30.6

すでに、一連の脆弱な Web サイトが、ハッカーたちによりターゲットにされているため、あなたのサイトで Elementor Pro を使用している場合には、可能な限り早急にバージョン 3.11.7 以降にアップグレードすることが必須となる (利用可能な最新版は 3.12.0)。

先週の WordPress では、オンラインストア用プラグイン WooCommerce Payments を強制アップデートし、未認証の攻撃者が脆弱なサイトの管理者権限を取得するという、深刻な脆弱性への対応が行われている。

文中にあるように、この脆弱性を悪用する前提として、WooCommerce プラグインのインストールが必要とのことなので、2つの問題が連鎖することで、攻撃チェーンが完成するのでしょう。WooCommerce に関しては、2023/03/22 の「WordPress 上の eコマース侵害:決済の瞬間を狙ってクレカ情報を盗み出す手口とは?」と、2023/03/24 の「WooCommerce 決済プラグインの深刻な脆弱性:WordPress サイト 50万以上に影響を及ぼす?」を、ご参照ください。よろしければ、WordPress で検索も、ご利用ください。

%d bloggers like this: