WordPress サイトへの広範なサプライチェーン攻撃:5種類のプラグインが侵害されていた

Breaking News: Widespread WordPress Plugin Compromise in Active Supply Chain Attack

2024/06/24 SecurityOnline — 世界で最も人気の CMS である WordPress が、広範なサプライチェーン攻撃に遭遇するという、重大なセキュリティ脅威に直面している。WordPress.org の公式リポジトリで提供されている5種類の人気プラグインが侵害され、数千の Web サイトが危険にさらされる可能性があるという。この、Wordfence Threat Intelligence により発見された侵害は、Social Warfare plugin 注入された悪質なコードから始まっていた。同チームが調査を進めたところ、4種類プラグインにも同じコードが含まれていることが判明し、協調的かつ継続的な攻撃が行われていることが判明した。


侵害が発見された5種類のプラグインは、以下の通りである:

  • Social Warfare (バージョン 4.4.6.4〜4.4.7.1) :バージョン 4.4.7.3 でパッチが適用されている。
  • Blaze Widget (バージョン 2.2.5〜2.5.2):パッチ未適用。
  • Wrapper Link Element (バージョン 1.0.2〜1.0.3) :悪意のコードは削除されたが、バージョンのタグ付けに問題があるため、更新に支障が生じている。
  • Contact Form 7 Multi-Step Addon (バージョン 1.0.4〜1.0.5): 現時点では、まだパッチは適用されていない。
  • Simply Show Hooks (バージョン 1.2.1): 現時点では、まだパッチは適用されていない。

多くの場合において、”Options” や “PluginAuth” といった一般的なユーザー名で、不正な管理ユーザー・アカウントを作成することで、一連の悪質のコードは動作する。作成された不正なアカウントは、侵害した Web サイトへのバックドア・アクセスを攻撃者に許可するものであり、コンテンツの操作や機密データの窃取など、さらなる被害を引き起こす可能性がある。さらに、これらのコードは、悪意の JavaScript を Web サイトのフッターに注入する。

プラグイン内の悪質なコードが、攻撃者たちにより更新され続けているという事実から、この攻撃の深刻度は高まっている。Web サイトの管理者たちにとって重要なことは、直ちに対策を講じることである。

IoC:侵害の指標

WordPress サイト管理者が知っておくべき、この攻撃の侵害の指標 (IoC:Indicators of Compromise) は、下記の通りだ:

  • 悪意のサーバー IP:94.156.79.8
  • 侵害された管理者ユーザー名:“Options” と “PluginAuth”

すべての WordPress ユーザーに対して、Wordfence が促しているのは、影響を受けるプラグインがインストールされていないことのチェックである。もし見つかった場合には、自分の Web サイトが危険にさらされていると考え、以下の対策を実施すべきである:

  1. 未承認の管理者アカウントの確認/削除:一般的なユーザー名のアカウントや、侵害が疑われる時期に作成されたアカウントを探す。
  2. 徹底的なマルウェア・スキャンの実施:Wordfence などのセキュリティ・ツールを利用して、Web サイト上の悪質なコードを特定し、削除する。
  3. 影響を受けたプラグインの更新/削除:プラグインのパッチが利用可能であれば、パッチが適用された最新バージョンに更新する。パッチが適用されていないプラグインについては、安全なバージョンがリリースされるまで完全に削除する。

Wordfence は、感染したプラグインのマルウェア・シグネチャの作成に取り組んでおり、Wordfence Vulnerability Scanner を通じてユーザーに通知する予定だという。さらに同社が推奨するのは、すべてのプラグインとテーマを定期的に更新し、強力なパスワードと二要素認証を使用し、WAF (web application firewalls) などの保護対策を追加することである。

WordPress 5種類のプラグインが侵害され、広範なサプライチェーン攻撃の原因となっていたようです。この問題を発見した Wordfence ですが、それぞれの問題に関する詳細は公表されていません。文中の説明によると、なんらかのリポジトリ汚染が起こったのかと推測できます。これまで、WordPress プラグインにおいては、たくさんの脆弱性が公表されてきましたが、このようなかたちで、リポジトリが汚染されたのは始めてのことかと思います。上記のプラグインを、ご利用のチームは、お気をつけください。