Sneeit WordPress RCE Exploited in the Wild While ICTBroadcast Bug Fuels Frost Botnet Attacks
2025/12/08 TheHackerNews — WordPress 用プラグイン Sneeit Framework に存在する、深刻なリモートコード実行の脆弱性 CVE-2025-6389 (CVSS スコア: 9.8) が、脅威アクターたちにより悪用されていることが明らかになった。その影響が及ぶ範囲は、Sneeit Framework のバージョン 8.3 以下となる。この脆弱性は、2025年8月5日にリリースされたバージョン 8.4 で修正されている。Wordfence のデータによると、このプラグインは 1,700 以上のアクティブ・インストールを保有するという。
Wordfence は、「この問題は sneeit_articles_pagination_callback() 関数がユーザー入力を受け取り、その値を call_user_func() に渡すことに起因する。この脆弱性が未認証の攻撃者により悪用されると、サーバ上でのコード実行やバックドアの挿入に加えて、新しい管理者ユーザー・アカウントの作成などが引き起こされる可能性がある」と述べている。
つまり、この脆弱性の悪用に成功した攻撃者は、wp_insert_user() などの任意の PHP 関数を呼び出して、悪意の管理者ユーザーを挿入することが可能となる。それにより、攻撃者はサイトの制御を奪って悪意のコードを挿入することで、マルウェアやスパムをホストする悪意のサイトへと、訪問者をリダイレクトさせることができる。
Wordfence によると、この脆弱性の悪用は情報が公開された当日の 2025年11月24日に始まっており、同社により 131,000 件以上の攻撃がブロックされたという。過去 24 時間だけでも、15,381 件の攻撃が記録されている。
この攻撃チェーンは、特別に細工された HTTP リクエストの “/wp-admin/admin-ajax.php” エンドポイントへの送信と、”arudikadis” などの悪意の管理者アカウントの作成、そして、バックドア・アクセスを許可する “tijtewmg.php” という悪意の PHP ファイルのアップロードで構成される。
攻撃は以下の IP アドレスから発信されている:
185.125.50.59
182.8.226.51
89.187.175.80
194.104.147.192
196.251.100.39
114.10.116.226
116.234.108.143
WordPress が確認したものには、ディレクトリ・スキャンと、ファイルの読取/編集/削除/権限指定に加えて、ZIP ファイル解凍機能を備えた悪意の PHP ファイルがあるという。これらの PHP ファイルには、”xL.php”/”Canonical.php”/”a.php”/”simple.php” といった名前が付けられている。
Wordfence によると、この脆弱性を悪用するよう設計されている “xL.php” シェルが、”up_sf.php” という別 PHP ファイルからダウンロードされるという。また、外部サーバ (racoonlab.top) からの “.htaccess” というファイルが、侵害済みのホストへとダウンロードされる。
Wordfence の Istvan Marton は、「この “.htaccess” ファイルは、Apache サーバ上の特定の拡張子を持つファイルへのアクセスを許可するものだ。したがって、アップロード・ディレクトリ内でのスクリプトへのアクセスが、他の “.htaccess” ファイルにより禁止されている際に有用となる」と述べている。
ICTBroadcast の脆弱性を悪用した Frost DDoS ボットネットの配信
その一方で、VulnCheck が発表したのは、ICTBroadcast の深刻な脆弱性 CVE-2025-2611 (CVSS:9.3) を悪用して、ハニーポット・システムを標的とする新たな攻撃に関する情報である。この攻撃は、シェルスクリプト・ステージャを配布して、Frost と呼ばれるバイナリの複数アーキテクチャ向けバージョンをダウンロードするものだ。
それらのダウンロードされた Frost が実行された後に、一連のペイロードとステージャが削除され、活動の痕跡が隠蔽される。最終的な目的は標的に対する分散サービス拒否 (DDoS) 攻撃である。
VulnCheck の Jacob Baines は、「Frost バイナリは、15種類の CVE に対する 14種類のエクスプロイトを含むスプレッダー・ロジックと、DDoS ツールを組み合わせている。重要なのは、その拡散の方法である。この攻撃者は、インターネットを無差別に爆撃するわけではない。Frost は標的をチェックし、特定兆候が確認された場合のみエクスプロイトを実行する」と述べている。
たとえば、あるバイナリは “Set-Cookie: user=(null)” を含む HTTP レスポンスを受信した後に、”Set-Cookie: user=admin” を含む第2のレスポンスを受信した場合に限り、脆弱性 CVE-2025-1610 をエクスプロイトする。これらのマーカーが存在しない場合には、バイナリは何も行わない。攻撃は IP アドレス “87.121.84.52” から開始される。
特定された脆弱性は、複数の DDoS ボットネットにより悪用されてきたが、それらの脆弱性の影響を受ける、インターネット上のサーバが1万台未満であることを考えると、今回の攻撃は小規模かつ標的型であると示唆される。
Jacob Baines は、「これらの CVE を悪用するボットネットの規模は限定的であり、この攻撃者は小規模な存在と言えるだろう。注目すべきは、このサンプルを配信した ICTBroadcast エクスプロイト自体が、対象となるバイナリ内に存在しないことである。それが示唆するのは、この攻撃者が未公開の追加機能を有していることである」と指摘している。
WordPress プラグインの Sneeit Framework に存在する脆弱性は、サニタイズしていないユーザー入力を危険な関数へ渡してしまう実装が原因であり、リモートから任意コードを実行できる深刻なものです。特に管理者アカウントの作成まで許すため、サイト全体が乗っ取られるリスクがあります。その一方で、ICTBroadcast の脆弱性は、既存の欠陥の連鎖的な悪用により、Frost というマルウェアの配布を許しているようです。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.