ITmedia NEWS > 科学・テクノロジー >
セキュリティ・ホットトピックス

WordPressの“古いプラグインやテーマ”から侵入するサイバー攻撃、ロシアの企業が発表 標的のアドオンリストありInnovative Tech

» 2023年01月10日 08時00分 公開
[山下裕毅ITmedia]

Innovative Tech:

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

 ロシアのアンチウイルス製品を開発するDoctor Webは、WordPress CMSをベースとしたWebサイトをハッキングする悪意のあるLinuxプログラムを発見したと発表した。

 Linuxマルウェアが複数の古いWordPressプラグインやテーマに存在する30の脆弱性を悪用して、悪意のあるJavaScriptを注入していた。その結果、ユーザーが感染ページの任意の領域をクリックすると、他のサイトにリダイレクトされる被害が起きていたという。

感染したページの一例

 このマルウェア(トロイの木馬)は32ビットと64ビットの両方のLinuxシステムをターゲットにしており、そのオペレーターにリモートコマンド機能を与える。主な機能は、ハードコードされたエクスプロイトのセットを使用してWordPressサイトをハッキングし、そのうちの1つが動作するまで連続して実行される。

 対象となる脆弱性があるプラグインやテーマは以下の通り。

  • WP Live Chat Support Plugin
  • WordPress ? Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • WP GDPR Compliance Plugin
  • Newspaper Theme on WordPress Access Control(CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Faceboor Live Chat by Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ(CVE-2019-17232 and CVE-2019-17233)
  • WP-Matomo Integration(WP-Piwik)
  • WordPress ND Shortcodes For Visual Composer
  • WP Live Chat
  • Coming Soon Page and Maintenance Mode
  • Hybrid

 標的となるWebサイトが上記のいずれかの古い脆弱なバージョンを実行している場合、マルウェアは自動的にコマンド&コントロール(C2)サーバから悪意のあるJavaScriptを取得し、元のページの内容に関係なく、Webサイトにそのスクリプトを注入する。

 そして、ユーザーが感染したページのどこかをクリックすると、攻撃者が選んだ場所へと転送される。これらのリダイレクトは、フィッシングやマルウェア配布、マルバタイジングキャンペーンに利用される可能性がある。このような攻撃が3年以上にわたって行われてきた可能性があるという。

 さらにこのマルウェアの更新版も発見されており、以下のWordPressプラグインとテーマが脆弱リストとして追加されている。

  • Brizy WordPress Plugin
  • FV Flowplayer Video Player
  • WooCommerce
  • WordPress Coming Soon Page
  • WordPress theme OneTone
  • Simple Fields WordPress Plugin
  • WordPress Delucks SEO plugin
  • Poll, Survey, Form & Quiz Maker by OpinionStage
  • Social Metrics Tracker
  • WPeMatico RSS Feed Fetcher
  • Rich Reviews plugin

 同社は、WordPressベースのWebサイトの所有者に対して、サードパーティーのアドオンやテーマを含むプラットフォームの全てのコンポーネントを最新の状態に保ち、またアカウントには強力で固有のログイン名とパスワードを使用することを推奨している。

Copyright © ITmedia, Inc. All Rights Reserved.