ハッカーは、管理者権限を持つユーザーアカウントを作成し、長期的なアクセスのためのバックドアを仕掛けるために、WordPress用プラグイン「WP Automatic」の重大な脆弱性をターゲットにし始めている。
現在30,000以上のウェブサイトにインストールされているWP Automaticは、管理者が様々なオンラインソースからコンテンツ(テキスト、画像、ビデオなど)を自動インポートし、WordPressサイトで公開することを可能にします。
悪用された脆弱性はCVE-2024-27956として識別され、深刻度スコアは9.9/10でした。
この脆弱性は、3月13日にPatchStack脆弱性緩和サービスの研究者によって公開され、SQLインジェクションの問題であり、3.9.2.0以前のWP Automaticバージョンに影響を及ぼすと説明されている。
この問題は、プラグインのユーザー認証メカニズムにあり、サイトのデータベースにSQLクエリを送信するためにバイパスすることができる。ハッカーは、特別に細工されたクエリを使用して、標的のウェブサイトの管理者アカウントを作成することができます。
550万回以上の攻撃試行
PatchStackがこのセキュリティ問題を公表して以来、Automattic社のWPScanは、この脆弱性を利用しようとする550万回以上の攻撃を観測しており、そのほとんどは3月31日に記録されている。
WPScanの報告によると、攻撃者は標的のウェブサイトの管理者アクセス権を取得した後、バックドアを作成し、コードを難読化して発見を困難にする。
「いったんWordPressサイトが侵害されると、攻撃者はバックドアを作成し、コードを難読化することで、アクセスの長期化を保証します。
他のハッカーが同じ問題を悪用してウェブサイトを侵害するのを防ぎ、発見を避けるために、ハッカーは脆弱なファイルの名前を “csv.php” に変更する。
一旦ウェブサイトを支配下に置くと、脅威の主体は多くの場合、ファイルのアップロードやコードの編集を可能にする追加のプラグインをインストールします。
WPScanは、ウェブサイトがハッキングされたかどうかを管理者が判断するのに役立つ侵害の指標セットを提供します。
管理者は、”xtw “で始まる管理者アカウントの存在と、最近のキャンペーンで仕掛けられたバックドアであるweb.phpと index.phpという名前のファイルを探すことで、ハッカーがウェブサイトを乗っ取った兆候をチェックすることができます。
侵入されるリスクを軽減するため、研究者はWordPressサイト管理者にWP Automaticプラグインをバージョン3.92.1以降にアップデートすることを推奨している。
WPScanはまた、サイトの所有者が侵害された場合にクリーンコピーを迅速にインストールできるように、サイトのバックアップを頻繁に作成することを推奨している。
Comments