WordPress

ハッカーは「Hunk Companion」プラグインの重大な脆弱性を悪用し、悪用可能な欠陥を持つ他のプラグインを WordPress.org のリポジトリから直接インストールして有効化している。

利用可能なエクスプロイトを持つ既知の脆弱性を持つ古いプラグインをインストールすることで、攻撃者はリモートコード実行(RCE)、SQLインジェクション、クロスサイトスクリプティング(XSS)の欠陥につながる欠陥の大規模なプールにアクセスしたり、バックドア管理者アカウントを作成したりすることができる。

この活動は WPScan によって発見され、Hunk Companion に報告され、ゼロデイ欠陥に対応するセキュリティアップデートが昨日リリースされました。

脆弱なプラグインのインストール

Hunk Companion は、カスタマイズ可能な WordPress テーマのプロバイダーである ThemeHunk が開発したテーマの機能を補完し、強化するために設計された WordPress プラグインであるため、独立したプラグインというよりは、アドオンという意味合いが強い。

WordPress.orgの統計によると、Hunk Companionは現在10,000以上のWordPressサイトで使用されており、この分野では比較的ニッチなツールである。

致命的な脆弱性はWPScanの研究者Daniel Rodriguezによって発見され、CVE-2024-11972として追跡されている。この欠陥は、認証されていないPOSTリクエストによってプラグインを任意にインストールすることを可能にします。

この問題は、昨日リリースされた最新の 1.9.0 以前の Hunk Companion のすべてのバージョンに影響する。

ある WordPress サイトの感染を調査していたところ、WPScan が CVE-2024-11972 を悪用して脆弱なバージョンのWP Query Console をインストールしているのを発見しました。

このプラグインは、7年以上前に更新された無名のプラグインで、ハッカーは、ゼロデイRCE欠陥CVE-2024-50498を利用して、標的のサイトで悪意のあるPHPコードを実行するために悪用しました。

「私たちが分析した感染では、攻撃者はRCEを利用して、サイトのルート・ディレクトリにPHPドロッパーを書き込んでいます。

「このドロッパーは、GETリクエストによる認証されていないアップロードを継続させ、サイトへの永続的なバックドア・アクセスを可能にする。

Hunk Companionはバージョン1.8.5で同様の欠陥を修正し、CVE-2024-9707で追跡されたことは注目に値するが、どうやらパッチは適切ではなく、それを回避する方法が存在するようだ。

この欠陥の重大性と悪用されている状況を考慮すると、Hunk Companion のユーザーはできるだけ早く 1.9.0 にアップデートすることをお勧めする。

本稿執筆時点で、最新バージョンはおよそ1,800回ダウンロードされているため、少なくとも8,000のウェブサイトが悪用される可能性が残っている。