ウェブ公開ソフトウェアの管理者権限を取得するために悪用される可能性のある脆弱性を塞ぐために、320,000 以上のウェブサイトで広く使用されている 2 つの WordPress プラグインにパッチを適用する必要があります。
WordPressをはじめとするCRMおよびパブリッシングプラットフォームに特化したセキュリティ企業WebArxのチームは、WP Time CapsuleとInfiniteWPの脆弱性を発見し報告した功績を認められました。両プラグインは今月初めに開発者によって修正されており、アップデートを適用する必要があります。
WebArx によれば、いずれの場合も、認証バイパスの脆弱性は「論理的な問題」によるもので、これを狙うと、攻撃者はパスワードを必要とせずにサイトの管理者権限を取得できるという。
推定30万人のユーザーを抱える管理ツールInfiniteWPの場合、攻撃者はまずJSONでペイロードを記述し、その後Base64でエンコードしたPOSTリクエストを送信します。適切にエンコードされていれば、リクエストはパスワード入力を回避し、ユーザー名のみでユーザーをログインさせることができます。
約2万のサイトで稼働しているバックアップツール「WP Time Capsule」の場合も、バイパスはPOST関数として実行されますが、ペイロードをエンコードする必要はありません。また、リクエストに特定の文字列が含まれている場合、コードは認証を要求せず、サイトへの管理者アクセスを許可します。
この場合、脆弱性に対する攻撃はファイアウォールをすり抜ける可能性が高いため、プラグインにパッチを適用することが特に重要です。
WordPress.comの大規模障害でトップウェブサイトが被害に遭う:VIPは行く?いやVIPは行けない?
続きを読む
「認証バイパスの脆弱性は、多くの場合、コード内の論理的な間違いであり、疑わしいペイロードが実際に関係していないため、これらの問題がどこから来ているのかを見つけて判断することが難しい場合があります」とWebArxは説明している。
「この場合、ペイロードがエンコードされており、悪意のあるペイロードは両方のプラグインの正当なペイロードと比べて見た目に大きな違いがないため、一般的なファイアウォール ルールでこの脆弱性をブロックすることは困難です。」
WebArx は、両方のプラグインの開発元である Revmakx が迅速に対応し、報告から 1 日以内にそれぞれ更新されたことを高く評価していると述べています。
これを機に、管理者の皆様にはWordPressとそのプラグインを定期的なアップデートサイクルに含めることを改めてご理解ください。Windows、Acrobat、その他のソフトウェアのパッチは多くの注目を集めていますが、WordPressはサイトを乗っ取り、暗号通貨マイニングツールやMageCartなどをインストールしようとする攻撃者にとって、非常に人気の高い標的となっています。®
