ハッカーがWordPressおよびJoomla用プラグインSmart Slider 3 Proのアップデートシステムを乗っ取り、複数のバックドアを備えた悪意のあるバージョンをプッシュした。
開発者によると、影響を受けるのはプラグインのProバージョン3.5.1.35のみで、現在3.5.1.36、または3.5.1.34以前の最新バージョンに直ちに切り替えることを推奨している。
悪意のあるアップデートは、複数の場所にバックドアをインストールする以外に、管理者権限を持つ隠しユーザーを作成し、機密データを盗み出します。
Smart Slider 3 for WordPress は、ライブスライダーエディターによるレスポンシブなスライダー作成のために90万以上のウェブサイトで使用されており、豊富なレイアウトとデザインを備えています。
同ベンダーによると、脅威の主体は4月7日に悪意のあるアップデートを配布し、一部のウェブサイトはそれをインストールした可能性があるという。
WordPressとオープンソースソフトウェアのセキュリティに特化した企業であるPatchStackの分析によると、このマルウェアは、Smart Sliderの通常の機能を維持したまま、プラグインのメインファイルに埋め込まれたフル機能の多層ツールキットであるという。
研究者は、この悪意のあるキットにより、リモートの攻撃者が細工されたHTTPヘッダーを介して認証なしでコマンドを実行できることに気づきました。また、PHP evalとOSコマンドの実行、および自動化されたクレデンシャルの窃盗を行う、2つ目の認証済みバックドアも含まれています。
このマルウェアは複数のレイヤーを通して永続性を実現しており、その1つが隠し管理者アカウントの作成とデータベースへの認証情報の保存です。
Source:PatchStack
さらに、「mu-plugins」ディレクトリを作成し、正規のキャッシング・コンポーネントのふりをしたファイル名のマストユース・プラグインを作成します。
マストユースプラグインは、自動的にロードされ、WordPressのダッシュボードから無効にすることができず、プラグインセクションに表示されないという点で特殊です。
PatchStackは、この悪質なキットはアクティブなテーマのfunctions.phpファイルにもバックドアを仕込み、テーマがアクティブである限り永続させることができると指摘している。
もう1つの永続化レイヤーは、wp-includesディレクトリに、正規のWordPressコアクラスを模倣した名前のPHPファイルを注入することです。
「他の永続化レイヤーとは異なり、このバックドアはWordPressのデータベースに依存せず、同じディレクトリに保存されている.cache_keyファイルから認証キーを読み取ります」とPatchStackの研究者は説明している。
そのため、データベースの認証情報を変更してもバックドアは無効化されず、”WordPressが完全に起動できなくても “動作し続ける。
このベンダーは、Joomlaのインストールに対しても同様の警告を発しており、プラグインのバージョン3.5.1.35に存在する悪質なコードは、隠れた管理者アカウント(通常は接頭辞wpsvc_を持つ)を作成し、/cacheおよび/mediaディレクトリに追加のバックドアをインストールし、サイト情報と認証情報を盗む可能性があると述べている。
推奨されるアクション
この悪質なアップデートは4月7日にユーザーに配布されましたが、Smart Sliderチームは、すべてのケースで時差が考慮されていることを確認するため、バックアップの復元に最も安全な日付として4月5日を推奨しています。
「セキュリティ侵害は、Smart Slider 3 Pro for WordPressの配布を担当する更新システムに影響を与えました。
バックアップがない場合は、侵害されたプラグインを削除し、クリーンバージョン(3.5.1.36)をインストールすることをお勧めします。
危殆化したプラグインのバージョンを見つけた管理者は、サイトが完全に危殆化したと仮定し、以下の措置を取るべきである:
- 悪意のあるユーザー、ファイル、データベースエントリを削除する。
- WordPressのコア、プラグイン、テーマを信頼できるソースから再インストールする。
- すべての認証情報をローテーションする(WP、DB、FTP/SSH、ホスティング、電子メール)
- WordPressのセキュリティキー(ソルト)を再生成する。
- 残存するマルウェアのスキャンとログの確認
このベンダーはまた、WordPressとJoomla用の複数ステップの手動クリーンアップガイドも提供している。
管理者は次に、未承認の管理者ユーザーを一掃し、すべての悪意のあるコンポーネントを削除し、すべてのコアファイル、プラグイン、テーマをインストールする必要があります。すべてのパスワードをリセットし、追加のマルウェアがないかスキャンすることも推奨される。
最後に、二要素認証(2FA)保護を有効化し、コンポーネントを最新バージョンに更新し、管理者アクセスを制限し、固有の強力なパスワードを使用することで、サイトを堅牢化することを推奨します。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
自動ペンテストは6面のうち1面のみをカバーする。
自動ペンテストは、パスの存在を証明する。BASは、あなたのコントロールがそれを止めるかどうかを証明します。ほとんどのチームは、一方を実行し、もう一方を実行しない。
このホワイトペーパーは、6つの検証サーフェスをマッピングし、どこでカバーが終了するかを示し、実務者にあらゆるツール評価のための3つの診断質問を提供します。
Comments