Wordpress

ハッカーは、主に不動産 Web サイトで使用される 2 つのプレミアム アドオンである Houzez テーマと WordPress 用プラグインの 2 つの重大な脆弱性を積極的に悪用しています。

Houzez テーマは 69 ドルのプレミアム プラグインで、簡単なリスティング管理とスムーズなカスタマー エクスペリエンスを提供します。ベンダーのサイトによると、不動産業界で 35,000 を超える顧客にサービスを提供しているとのことです。

2 つの脆弱性は、Patchstack の脅威研究者である Dave Jong によって発見され、テーマのベンダーである「ThemeForest」に報告され、1 つの欠陥はバージョン 2.6.4 (2022 年 8 月) で修正され、もう 1 つの欠陥はバージョン 2.7.2 (2022 年 11 月) で修正されました。

ただし、新しい Patchstack レポートは、一部の Web サイトがセキュリティ更新プログラムを適用していないことを警告しており、攻撃者は進行中の攻撃でこれらの古い欠陥を積極的に悪用しています。

「テーマとプラグインの脆弱性は現在、悪用されており、執筆時点で IP アドレス 103.167.93.138 からの多数の攻撃が確認されています。」 – パッチスタック

サイトを制御するために悪用される

最初の Houzez の欠陥はCVE-2023-26540として追跡されており、CVSS v3.1 標準に従って 10.0 段階中 9.8 の重大度評価があり、重大な脆弱性として分類されています。

これは、Houzez テーマ プラグイン バージョン 2.7.1 以前に影響を与えるセキュリティの設定ミスであり、権限昇格を実行するための認証を必要とせずにリモートで悪用される可能性があります。

問題を修正するバージョンは、Houzez テーマ 2.7.2 以降です。

2 番目の脆弱性はCVE-2023-26009という識別子が付けられており、重大 (CVSS v3.1: 9.8) と評価されており、Houzes Login Register プラグインに影響を与えます。

これはバージョン 2.6.3 以前に影響を与え、認証されていない攻撃者がプラグインを使用してサイトで権限昇格を実行できるようにします。

セキュリティ上の脅威に対処するバージョンは、Houzez Login Register 2.6.4 以降です。

Dave Jong 氏は、攻撃者は、アカウント作成リクエストをリッスンするエンドポイントにリクエストを送信することで、これらの脆弱性を悪用していると語っています。

サーバー側の検証チェックのバグにより、サイトに管理者ユーザーを作成するようにリクエストが細工され、攻撃者が WordPress サイトを完全に制御できるようになります。

Patchstack が観測した攻撃では、攻撃者は、コマンドを実行したり、Web サイトに広告を挿入したり、他の悪意のあるサイトにトラフィックをリダイレクトしたりできるバックドアをアップロードしました。

「ユーザーは目的のユーザー ロールを提供できますが、サーバー側で適切に検証されないため、管理者ユーザー ロールを持つ新しいアカウントを作成するために、「管理者」の値に設定できます」と PatchStack 研究者D.ジョンは言った。

「この後、彼らはサイトに対して何でもできますが、バックドアを含む悪意のあるプラグインがアップロードされることがよくあります。

残念ながら、これを書いている時点で欠陥が悪用されていると Patchstack が報告しているため、Web サイトの所有者と管理者は利用可能なパッチを適用することを最優先に扱う必要があります。