Critical WordPress Plugin Flaws Exploited to Inject Malicious Scripts and Backdoors
2024/05/30 SecurityWeek — Fastly からの警告によると、3つの WordPress プラグインの脆弱性が悪用され、悪意のスクリプトやバックドアが Web サイトに注入されている。これらの脆弱性には、認証を必要としない蓄積型クロス・サイト・スクリプティング (XSS) 攻撃の実行で、悪用される可能性があるという。具体的に言うと、攻撃者は新しい WordPress 管理者アカウントを作成し、プラグインやテーマのファイルに PHP バックドアを注入し、感染させたターゲットを監視するための、追跡スクリプトを設定できる。
Fastly によると、Autonomous System (AS) IP Volume Inc. に関連付けられた IP から、かなりの件数の悪用の試みが発生している。
1件目の脆弱性は、60万以上のアクティブなインストールを持つ WP Statistics プラグインに影響を与えるものであり、攻撃者は URL 検索パラメータを介してスクリプトを注入できる。このプラグインのバージョン 14.5 以前に影響を与えるセキュリティ上の欠陥は、2024年3月に明らかになり、CVE-2024-2194 として追跡されている。
Fastly は、「これらの悪意のスクリプトは、ユーザーが注入されたページにアクセスするたびに実行される。それにより攻撃者は、ペイロードを取り込んだリクエストを繰り返して送信し、最もアクセスの多いページに確実に表示されるようにする。なお、これらのリクエストには、’utm_id’ パラメータが追加される」と述べている。
2件目の脆弱性 CVE-2023-6961 は、WP Meta SEO プラグインのバージョン 4.5.12 以前が影響を与えるものであるが、このプラグインは 2万回以上もインストールされている。
このバグを悪用する攻撃者は、404 レスポンスを生成するページにペイロードを注入している。そのページが、管理者のブラウザで読み込まれると、スクリプトはリモート・サーバから難読化された JavaScript ペイロードを抽出し、それにより管理者の認証情報を盗み出す。
このキャンペーンを展開する脅威アクターは、LiteSpeed Cache プラグインのバージョン 5.7.0.1以前に存在する、脆弱性 CVE-2023-40000 も悪用している。このプラグインに、500万以上のアクティブ・インストールがある。
この攻撃者は、XSS ペイロードを管理者通知として偽装していた。つまり、管理者がバックエンドのページにアクセスした直後に、このスクリプトは、彼らの認証情報を用いて実行され、その後の悪意のアクションへと繋げていく。
Fastly によると、悪意のペイロードで参照されている5つのドメインと、トラッキングに用いられている2つの追加ドメインを特定したという。これらのドメインの、少なくとも1つは、以前においても、脆弱な WordPress プラグインの悪用に関連していた。
このところ、WP Statistics と LiteSpeed Cache の脆弱性が悪用されていますが、攻撃キャンペーンを操る脅威アクターの姿が、少し見えてきたようです。さらなる追跡が行われ、キャンペーンを制止してほしいです。よろしければ、以下のリストも、ご参照ください。
2024/05/08:Litespeed の脆弱性 CVE-2023-40000:積極的な悪用を観測
2024/03/11:WordPress Statistics Plugin の脆弱性 CVE-2024-2194 が FIX
2024/02/27:WordPress Litespeed Cache の脆弱性 CVE-2023-40000 が FIX
IoT OT Security News 
You must be logged in to post a comment.