WordPress Phishing Scam Exploits Fake CVE-2023-45124 Vulnerability
2023/12/02 SecurityOnline — 日進月歩のサイバー・セキュリティの世界では、新たな警戒心が必要不可欠だ。最近では、CVE-2023-45124 というセキュリティ欠陥をでっち上げ、無防備な WordPress ユーザーを標的にするという、狡猾なフィッシング詐欺が出現している。この巧妙な策略は、Wordfence Threat Intelligence Team により発見された。
一見すると、WordPress チームからの正規のものに見えるフィッシング・メールは、存在しない脆弱性 CVE-2023-45124 を引き合いに出し、ユーザー・サイトにリモート・コード実行の脆弱性があると警告して欺くものだ。そして、このメールで解決策として提供される、サイトの安全性を約束するパッチ・プラグインが、フィッシング詐欺のフックとなる。
メール内のダウンロード・リンクは、罠を仕掛けた偽のランディング・ページに被害者をリダイレクトするものだが、en-gb-wordpress[.]org というドメインを装う、驚くほどに本物に似た構成になっている。そこでユーザーは、Web サイトのプロテクションを強化すると騙され、プラグインをダウンロード/インストールするように誘導される。
しかし、インストールされたプラグインには、恐ろしい仕掛けが隠されている。 つまり、wpress-security-wordpress を装うことで、WordPress サイトに wpsecuritypatch という悪意の管理者ユーザーを密かに追加するのだ。この不正なユーザーは姿を隠した状態で、URL と生成されたパスワードを C2 ドメインに送り返し、攻撃のための足場を築く。
この詐欺の悪質性は、それだけにとどまらない。さらに、このプラグインは、同じ悪意のドメインから、別のバックドア・ファイル wp-autoload.php を取得して、サイトの Web ルートに配置する。このファイルに備わる悪質な機能としては、ファイル・マネージャー/SQL クライアント/PHP コンソール/コマンドライン・ターミナル/詳細な環境情報などがある。
これらのツールを操作する攻撃者は、WordPress サイトとサーバ上の Web ユーザー・アカウントを、完全にコントロールできるようになる。さらに恐ろしいことに、これらのツールは、一連の制御をステルス性を持って維持し、検知されないアクセスを持続させる。
Wordfence チームは、この侵害について、いくつかの指標を特定した。Web ルート内の “wp-autoload.php” ファイルの存在/wpress-security-wordpress プラグイン/隠れた管理者ユーザー/悪意のドメインとのやりとりなどである。
Wordfence は迅速に対応し、この脅威を認識して対抗するためにシステムを更新した。Wordfence は、すべての WordPressユーザーに対して、フィッシング・メールに注意し、疑わしいプラグインのダウンロード/インストールを控えるよう呼びかけている。
お隣のキュレーション・チームに聞いてみましたが、フェイク CVE というものは、初めて見たと言っていました。そこで、CVE-2023-45124 で検索をかけてみましたが、NVD や VulDB といった脆弱性ポータルでは、すべて無視されていました。まぁ、当然のことですが、ちょっと不思議なものを見たというジャンジがしました。よろしければ、WordPress で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.