Hackers Exploit WordPress Arbitrary Installation Vulnerabilities in the Wild
2025/10/25 gbhackers — WordPress の2つのプラグインに存在する深刻な脆弱性を狙う大規模なエクスプロイトの波を、サイバー・セキュリティ企業 Wordfence が発見した。これらの脆弱性を悪用する未認証の攻撃者は、悪意のソフトウェアをインストールし、Web サイトを乗っ取る可能性を手にしている。これらの脆弱性 CVE-2024-9234/CVE-2024-9707 は 2024年後半に公開されたものであり、アクティブ・インストール数が 4 万件以上の GutenKit プラグインと、8,000 件以上の Hunk Companion プラグインに影響を与える。
パッチが公開されてから1年以上が経っているが、ハッカーたちは 2025年10月8日に大規模な攻撃を再開している。したがって、サイト管理者に強く求められるのは、速やかなバージョンの確認とアップデートとなる。
パッチ未適用のサイトが新たな攻撃の標的に
これらの脆弱性は、プラグインの REST API エンドポイントにおける認証チェックの欠如に起因している。これらの脆弱性を悪用する未認証の攻撃者は、任意のプラグインのインストールと有効化が可能な状況にある。
GutenKit バージョン 2.1.0 以下では、”install-active-plugin” エンドポイントに適切な権限が設定されていないため、攻撃者は悪意のある ZIP ファイルを WordPress のプラグイン・ディレクトリに直接アップロードして解凍できる。それにより、正規のプラグインを装うバックドアが展開され、リモートコード実行 (RCE) にいたる可能性がある。
同様に、Hunk Companion バージョン 1.8.5 以下では、”themehunk-import” エンドポイントが公開されており、それを悪用する攻撃者は、WordPress リポジトリから脆弱なプラグイン (RCE 脆弱性を持つパッチ未適用の wp-query-console など) をプルダウンできてしまう。
GutenKit の CVE-2024-9234 と Hunk Companion の CVE-2024-9707 は、どちらも CVSS:9.8 と評価されている。
Wordfence の研究者である Sean Murphy と Daniel Rodriguez たちは、バグ報奨金プログラムを通じて上記の問題を特定し、$537〜$716 の報奨金を獲得した。
攻撃ログから、脅威アクターたちの巧妙な手口が明らかになっている。GitHub でホストされている共通のペイロードは、管理者権限の乗っ取りを目的とした All in One SEO を模倣するものだ。具体的には、難読化された PHP スクリプト/マルウェア・アップロード用のファイル・マネージャー/大規模な改竄やネットワーク・スニッフィング用のツールなどで構成されている。
別の悪意の試みでは、wp-query-console をインストールして、エクスプロイトを連鎖的に実行するものも検出されている。Wordfence のファイアウォールは、2024年9月にルールが導入されて以来、875 万件以上の攻撃を阻止しているが、その頻度は 2025年10月8日〜9日に急増している。
攻撃の発信元である IP アドレスのうち、3.141.28.47 (349,900 件のブロック) や 13.218.47.110 (82,900 件のブロック) などは、組織的なボットネット活動の兆候を示している。すでに Wordfence プレミアム・ユーザーは保護を受けており、無料版は 30 日後に保護を受ける。
WordPress ユーザーへの推奨事項
WordPress サイト所有者にとって必要なことは、GutenKit 2.1.1 と Hunk Companion 1.9.0 への速やかなアップグレードである。さらに、Wordfence などのファイアウォールを有効化して API の不正利用をブロックし、インストールされたプラグインの不審なアクティビティを監査すべきである。
Wordfence が警告するのは、これらの脆弱性に対するパッチが未適用のサイトは、公開から1年が経った今でも依然として主要な標的であり、脅威アクターたちが古いソフトウェアを悪用し続けている状況である。
Indicators of Compromise (IoCs):
| Category | Details |
|---|---|
| Suspicious Requests | /wp-json/gutenkit/v1/install-active-plugin /wp-json/hc/v1/themehunk-import |
| Suspicious IP Addresses | 13.218.47.110 3.10.141.23 52.56.47.51 18.219.237.98 2600:1f16:234:9300:70c6:9e26:de1a:7696 18.116.40.45 119.34.179.21 2600:1f16:234:9300:f71:bed2:11e5:4080 194.87.29.184 3.133.135.47 3.141.28.47 3.85.107.39 3.148.175.195 193.84.71.244 3.147.6.140 3.144.26.200 193.233.134.136 |
| Common Malicious Plugin Directories | /up / up.zip – Malicious plugin /background-image-cropper / background-image-cropper.zip – Malicious plugin /ultra-seo-processor-wp / ultra-seo-processor-wp.zip – Malicious plugin /oke / oke.zip – Malicious plugin |
| Legitimate Plugin Directory | /wp-query-console – Legitimate WordPress plugin |
| Involved Domains | ls.fatec[.]info dari-slideshow[.]ru zarjavelli[.]ru korobushkin[.]ru drschischka[.]at dpaxt[.]io cta.imasync[.]com catbox[.]moe (file sharing website) |
WordPress のプラグイン GutenKit と Hunk Companion に存在する認証チェックの脆弱性を悪用する、大規模キャンペーンが展開されているようです。これらのプラグインは、REST API エンドポイントで利用者の権限を確認しないまま操作を許可してしまい、未認証の攻撃者でも悪意のあるファイルをアップロードできる状態になっていました。その結果として、正規プラグインを装ったバックドアが仕込まれ、遠隔操作が可能になります。これらの脆弱性は以前から知られていましたが、パッチ未適用のサイトが依然として多く、攻撃者に狙われやすい状況が続いていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、WordPress で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.