Urgent: Critical WordPress Plugin Vulnerability Exposes Over 4 Million Sites
2024/11/18 TheHackerNews — WordPress の Really Simple Security (旧 Really Simple SSL) プラグインに、深刻な認証バイパスの脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、脆弱なサイトでの完全な管理者権限を、リモートから取得する可能性を得る。今回の脆弱性 CVE-2024-10924 (CVSS:9.8) は、400 万を超える WordPress サイトにインストールされている、このプラグインの無料版とプレミアム版に影響を及ぼす。
Wordfence のセキュリティ研究者 Istvan Marton は、「この脆弱性の武器化は、スクリプトにより可能になるため、WordPress Web サイトを標的とする、大規模な自動攻撃に転用できる」と述べている。
この脆弱性は、2024年11月 日の時点で開示され、その1週間後にリリースされたバージョン 9.1.2 で修正されている。この脆弱性が悪用されたときのリスクを考慮し、WordPress とメンテナが協力したことで、このプラグインを実行している全サイトは、情報が公開される前に強制的に更新された。
Wordfence によると、バージョン 9.0.0 〜 9.1.1.1 で発見された認証バイパスの脆弱性は、”check_login_and_get_user” 関数における、不適切なユーザー・チェック・エラー処理に起因するという。そして、2要素認証が有効化されている場合に、管理者などの任意のユーザーとして、未認証の攻撃者にログインを許すものだという。
Istvan Marton は、「残念なことに、2要素認証を追加する機能の1つが、安全に実装されていなかったことで、2要素認証が有効化される場合において問題が発生した。つまり、簡単なリクエストを送信する未認証の攻撃者が、管理者アカウントなどを含む任意のユーザー・アカウントにアクセスできるようになっていた」と述べている。
この脆弱性の悪用に成功した攻撃者は、WordPress サイトを乗っ取りを達成し、さらには、それを犯罪目的で使用できるため、深刻な結果を招く可能性があるという。
先日に、Wordfence が WordPress 用の WPLMS 学習管理システムであるWordPress LMS に、脆弱性 CVE-2024-10470 (CVSS:9.8) が存在することを明らかにしている。その数日後に、今回の脆弱性が公表された。前回の脆弱性も、未認証の脅威アクターに対して、任意のファイル読取/削除や、コード実行を許すものだった。
具体的にいうと、バージョン 4.963 以前のテーマは、ファイルパスの検証と権限チェックが不十分なため、任意のファイルの読取/削除に対して脆弱であり、未認証の攻撃者に対して、サーバ上の任意のファイルの削除を許すという。
Istvan Marton は、「この問題により、未認証の攻撃者に対して、対象サイトの wp-config.php ファイルなどを含む、任意のファイルの読取/削除が許可される。wp-config.php が削除されると、サイトがセットアップ状態に強制され、攻撃者の管理下にあるデータベースとの接続により、サイトの乗っ取りへといたる恐れがある」と締め括っている。
WordPress の Really Simple Security の脆弱性が FIX しました。深刻なセキュリティ系の脆弱性ですので、すでに WordPress により、強制アップデートが行われたとのことですが、ご利用のチームは、ご注意ください。文中の説明を読むと、2FA の実装ミスで、2FA が有効化されている場合に、この脆弱性がトリガーされるという、とても皮肉な結果になってしまったようです。よろしければ、WordPress で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.