Hunk Companion WordPress plugin exploited to install vulnerable plugins
2024/12/11 BleepingComputer — WordPress – Hunk Companion プラグインの深刻な脆弱性 CVE-2024-11972 を悪用する攻撃者たちが、WordPress.org リポジトリかた他のプラグインをダイレクトにインストールし、アクティブ化している。それらのプラグインは、既知の脆弱性を持つ古いものであり、また、エクスプロイトが可能なものであるため、そこから攻撃が拡大していく。
それらの、古い脆弱性を悪用する攻撃者たちは、リモート・コード実行 (RCE)/SQL インジェクション/クロス・サイト・スクリプティング (XSS) などを引き起こす欠陥にアクセスし、管理者アカウントのバックドアを作成する。
この悪意のアクティビティは WPScan により発見され、Hunk Companion に報告された。そして、昨日である 12月10日には、このゼロデイ脆弱性に対処する、セキュリティ・アップデートがリリースされた。
脆弱なプラグインのインストール
カスタマイズ可能な WordPress テーマのプロバイダーである、ThemeHunk により開発されたテーマの機能を補完/強化するために、Hunk Companion は設計されている。その構造は WordPress プラグインであるが、スタンドアロン・プラグインというよりも、アドオンとしての性格が強いものだ。
WordPress.org の統計によると、現時点で 10,000 を超える WordPress サイトで、Hunk Companion は使用されており、この分野では比較的ニッチなツールである。
この深刻な脆弱性 CVE-2024-11972 は、WPScan の研究者である Daniel Rodriguez により発見された。この脆弱背を悪用する攻撃者は、認証されていない POST リクエストにより、任意のプラグインをインストールできる。
この問題は、Hunk Companion のバージョン 1.9.0 未満に影響を及ぼすが、昨日にリリースされた最新の 1.9.0 より修正されている。
WordPress サイトにおける感染を調査しているときに、WPScan が発見したのは、脆弱性 CVE-2024-11972 を悪用して、欠陥のある WP Query Console をインストールするという、アクティブな行為である。
このプラグインは、最後の更新から7年以上も経過している目立たないものである。このプラグインのゼロデイ RCE 欠陥 CVE-2024-50498 を悪用する攻撃者が、標的のサイト上で悪意の PHP コードを実行していたという。
WPScan の説明は、「私たちが分析した感染では、攻撃者は RCE を使用して PHP ドロッパーをサイトのルート・ディレクトリに書き込んでいた。このドロッパーは、GET リクエストを介して、認証されていないアップロードを継続して許可し、サイトへの永続的なバックドア・アクセスを可能にするものだった」というものが。
Hunk Companion は、バージョン 1.8.5 においても、同様の欠陥を修正している。この脆弱性は、CVE-2024-9707 として追跡されていたが、どうやらパッチが不十分であり、回避する方法が存在するようだ。
この欠陥の深刻さと、アクティブな悪用状況を考えると、Hunk Companion のユーザーに推奨されるのは、バージョン 1.9.0 への、可能な限り早急な更新となる。
この記事の執筆時点で、最新バージョンは約 1,800 回のダウンロード数に達しているため、約 8,000 の Web サイトが、悪用に対して脆弱な状態となっている。
Hunk Companion の脆弱性を悪用する脅威アクターたちは、それにより、既知の脆弱性を抱えている、他のプラグインをダウンロード/実行し、WeorPress サイトを侵害していきます。通常の WordPress プラグインの悪用とは、だいぶ異なる侵害の形態であり、想像しがたい規模で、被害が広がる可能性があります。ご利用のチームは、十分に、ご注意ください。よろしければ、WordPress で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.