人気のWordPressプラグイン「WP File Manager」に重大な脆弱性が火曜日に発見され、プラグインの開発者によってすぐに修正されました。
しかし、WordPress ウェブサイト上で任意のファイルのアップロードやリモートコード実行を可能にするこの脆弱性は、すでに積極的に悪用されている。
フィンランドに拠点を置くWordPressサービスプロバイダーSeravoからバグの警告を受けたWPScan WordPress脆弱性データベースによると、WP File Managerのゼロデイ脆弱性の結果として、複数のWordPressサイトが侵害されたとのことだ。
Securiの脅威ベッター、アンソニー・ガーランド氏によると、WP File Managerの開発者がバージョン6.4のローカルテスト中にファイルの名前を変更し、誤ってプロジェクトに追加してしまったとのことです。このファイルはelFinderと呼ばれるオープンソースライブラリの一部で、拡張子は.php.distでしたが、実行可能となるように.phpに変更されていました。
「この変更により、認証されていないユーザーがこのファイルに直接アクセスし、ファイルのアップロードや変更など、ライブラリに対して任意のコマンドを実行できるようになり、最終的にはウェブサイトが完全に乗っ取られる危険性が高まりました」とガーランド氏はブログ投稿で説明している。
タイに拠点を置くウェブセキュリティ企業NinTechNetのCEO、ジェローム・ブルアンデット氏もこのバグについて投稿し、この脆弱性を悪用しようとする試みを認識していると述べた。
「この脆弱性を悪用する試みが現在も数多く確認されており、この脆弱性は活発に悪用されています」と、彼はThe Registerへのメールで述べた。「多くのウェブサイトが攻撃を受けましたが、ハッキングされたことに数日経たないと気づかないユーザーもいるため、その数はまだ把握できていません。」
WordPressプラグイン「Profile Builder」に深刻な脆弱性、誰にでも王国の鍵を渡す
続きを読む
ブルーアンデット氏は、攻撃はすぐに検知されたため被害は限定的だったと述べたが、WordPressをロードしなくても、プラグインが無効になっていても、脆弱なスクリプトに直接アクセスできるため、このバグは重大だと付け加えた。
WP File Manager には 700,000 を超えるアクティブなインストールがあり、WordPress 管理者はすぐに更新するように求められています。
この脆弱性はバージョン6.4から6.8に影響します。パッチはバージョン6.9でリリースされました。
「WordPressではアップデートは自動的に行われますが、そうでない場合はユーザーがインストールを選択する必要があります」とブルーアンデット氏は説明した。「プラグインをインストールすると、バックドアがアップロードされたフォルダが消去されます。しかし、ハッカーはWordPressのコアファイルにも感染し、Telegramボットからサイトを制御するためのコードを追加しています。」
アプリのダッシュボードの「更新」メニューから WordPress を強制的に再インストールすると、そのようなファイルが削除されるはずだと彼は言いました。®
