WordPress プラグイン「Really Simple Security」(旧「Really Simple SSL」)に、無料版と Pro 版を含む重大な認証バイパス脆弱性が発見されました。
Really Simple SecurityはWordPressプラットフォーム用のセキュリティプラグインで、SSL設定、ログイン保護、二要素認証レイヤー、リアルタイムの脆弱性検出を提供する。無料版だけでも400万以上のウェブサイトで使用されている。
この欠陥を公表したWordfenceは、12年の歴史の中で報告された最も深刻な脆弱性のひとつと呼び、リモートの攻撃者が影響を受けたサイトへの完全な管理アクセスを得ることを可能にすると警告している。
さらに悪いことに、この欠陥は自動化されたスクリプトを使って一斉に悪用される可能性があり、大規模なウェブサイト乗っ取りキャンペーンにつながる可能性がある。
このようなリスクがあるため、Wordfenceはホスティング・プロバイダーに対し、顧客サイトのプラグインを強制的にアップデートし、誰も脆弱なバージョンを実行していないことを確認するためにデータベースをスキャンするよう提案している。
脆弱なセキュリティにつながる2FA
問題の重大な欠陥はCVE-2024-10924で、Wordfenceの研究者István Mártonによって2024年11月6日に発見された。
これは、プラグインの2ファクタREST APIアクションにおけるユーザー認証の不適切な処理に起因するもので、管理者を含むあらゆるユーザーアカウントへの不正アクセスを可能にします。
具体的には、「check_login_and_get_user()」関数に問題があり、この関数は「user_id」と「login_nonce」パラメータをチェックすることでユーザーの身元を確認します。
login_nonce」が無効な場合、リクエストは拒否されず、代わりに「authenticate_and_redirect()」が呼び出され、「user_id」だけに基づいてユーザーを認証する。
この欠陥は、二要素認証(2FA)が有効になっている場合に悪用可能であり、デフォルトでは無効になっているにもかかわらず、多くの管理者はより強固なアカウントセキュリティのためにこれを許可している。
CVE-2024-10924は、プラグインのバージョン9.0.0から9.1.1.1までの「無料」、「Pro」、「Pro Multisite」のリリースに影響します。
開発者は、コードが ‘login_nonce’ 検証の失敗を正しく処理し、’check_login_and_get_user()’ 関数を直ちに終了するようにすることで、この不具合に対処しました。
この修正は、11月12日にPro版、11月14日に無料版としてリリースされたプラグインのバージョン9.1.2に適用された。
ベンダーはWordPress.orgと調整し、プラグインのユーザーに対して強制的なセキュリティ・アップデートを実施したが、ウェブサイト管理者は依然として最新バージョン(9.1.2)を実行しているか確認する必要がある。
Proバージョンのユーザーは、ライセンスの有効期限が切れると自動アップデートが無効になるため、手動で9.1.2をアップデートする必要がある。
昨日の時点で、無料版プラグインのインストールを監視しているWordPress.orgの統計サイトでは、およそ450,000のダウンロードが確認されており、3,500,000のサイトが潜在的にこの欠陥にさらされていることになる。
Comments