WordPress プラグイン Ultimate Member の深刻なゼロデイ脆弱性:WordFence はアンインストールを推奨

Hackers exploit zero-day in Ultimate Member WordPress plugin with 200K installs

2023/06/30 BleepingComputer — WordPress プラグインである Ultimate Member に存在する、権限昇格のゼロデイ脆弱性を悪用するハッカーにより、セキュリティ・バイパスと不正な管理者アカウント登録が発生し、多くの Web サイトが侵害されている。Ultimate Member は、WordPress サイトでのサインアップやコミュニティ構築を容易にする、ユーザー・プロファイル/メンバーシップ・プラグインであり、現時点で 20万以上のアクティブ・インストールを有する。


悪用された脆弱性 CVE-2023-3460 (CVSS:9.8) は、最新版の 2.6.6 を含む、Ultimate Member プラグインの全バージョンに影響する。

同プラグインの開発者は、Ultimate Member 2.6.3/2.6.4/2.6.5/2.6.6 で、この脆弱性の修正を試みてきたが悪用の手段が残存しているため、問題の解決に引き続き取り組んでおり、近いうちに新しいアップデートをリリースしたいと述べている。

開発者の一人は、「この脆弱性についてユーザーからの報告を受け、2.6.3 以降で修正作業を進めている。バージョン 2.6.4/2.6.5/2.6.6 では、この脆弱性は部分的に解消されたが、WPScan チームと協力して完全な修正を目指している。また、全ての必要事項が詳述されたレポートも入手している。以前のバージョン全てに脆弱性が残っているため、2.6.6 へとアップグレードし、最新のセキュリティと機能拡張を得るために、今後もアップデートを続けることを強く推奨する」とコメントしている。

CVE-2023-3460 を悪用した攻撃

このゼロデイを悪用した攻撃は、Wordfence の Web サイト・セキュリティのスペシャリストにより発見された。脅威アクターたちは、このプラグインの登録フォームを用いて、自分のアカウントに任意のユーザー・メタ値を設定することで、このゼロデイを悪用している。

具体的に言うと、脅威アクターは “wp_capabilities” ユーザ・メタ値を設定し、ユーザの役割を管理者として定義し、脆弱なサイトへの完全なアクセスを許可している。

プラグインには、ユーザーによる更新を阻止するためのキー・ブロック・リストがあるが、この保護対策をバイパスすることは些細なことだと Wordfence は述べている。

脆弱性 CVE-2023-3460 を悪用する攻撃でハッキングされた WordPress サイトには、以下のインジケータが表示される:

  • Web サイト上の新しい管理者アカウントの表示
  • wpenginer/wpadmins/wpengine_backup/se_brutal/segs_brutal というユーザー名の使用
  • 悪意の IP が Ultimate Member 登録ページにアクセスしたことを示すログ記録
  • 146.70.189.245/103.187.5.128/103.30.11.160/103.30.11.146/172.70.147.176 からのアクセスを示すログ記録
  • “exelica.com ” に関連するメールアドレスを持つユーザー・アカウントの出現
  • 新しい WordPress プラグインとテーマのインストール

この深刻な脆弱性に関しては、依然としてパッチが適用されておらず、悪用が非常に容易であるため、WordFence は Ultimate Member プラグインを直ちにアンインストールすることを推奨している。

Wordfence の結論は、この脅威からクライアントを保護するために特別に開発したファイアウォール・ルールでさえ、潜在的な悪用シナリオをすべてカバーしていないため、ベンダーが問題に対処するまでプラグインを削除することが、唯一の賢明な行動であるというおのだ。

上記で紹介した IoC に基づき、サイトが侵害されていることが判明した場合には、プラグインを削除するだけではリスクを修復することはできない。Web サイトの所有者は、不正な管理者アカウントや、それらが作成したバックドアなどの侵害の残骸を根絶するために、完全なマルウェア・スキャンを実行する必要がある。

WordPress プラグインの脆弱性が、悪用されるというインシデントが多発しています。そして、今回の Ultimate Member においては、Wordfence がアンインストールを推奨するという、深刻さに注目したいです。なお、2023/06/29 には、「WordPress の Social Login Plugin に深刻な脆弱性:30,000 以上のサイトでパッチが必要!」もという記事がありました。よろしければ、WordPress で検索も、ご利用ください。