ハッカーは、サイトにバックドアをインストールするために、人気のある Elementor Pro WordPress プラグインの重大度の高い脆弱性を積極的に悪用しています。
Elementor Pro は、ドラッグ アンド ドロップ、テーマ作成、テンプレート コレクション、カスタム ウィジェット サポート、およびオンライン ショップ用の WooCommerce ビルダーを備えた、コーディング方法を知らなくてもユーザーがプロ並みのサイトを簡単に構築できるようにする WordPress ページ ビルダー プラグインです。
この脆弱性は、2023 年 3 月 18 日に NinTechNet の研究者である Jerome Bruandet によって発見され、WooCommerce と一緒にインストールした場合にバグがどのように悪用されるかについて、今週技術的な詳細を共有しました。
v3.11.6 およびそれ以前のすべてのバージョンに影響を与えるこの問題により、ショップの顧客やサイト メンバーなどの認証されたユーザーがサイトの設定を変更したり、サイトの完全な乗っ取りを実行したりすることができます。
研究者は、プラグインの WooCommerce モジュール (「elementor-pro/modules/woocommerce/module.php」) のアクセス制御が壊れているため、適切な検証なしに誰でもデータベース内の WordPress オプションを変更できるという欠陥があると説明しました。
この脆弱性は、脆弱な AJAX アクション「pro_woocommerce_update_page_option」を介して悪用されます。このアクションは、実装が不十分な入力検証と機能チェックの欠如に悩まされています。
「認証された攻撃者は、この脆弱性を利用して、登録を有効にし、デフォルトの役割を「管理者」に設定することで管理者アカウントを作成したり、管理者の電子メール アドレスを変更したり、サイト URL を変更してすべてのトラフィックを外部の悪意のある Web サイトにリダイレクトしたりする可能性があります。 Bruandet は、バグに関する技術記事で説明しています。
特定の欠陥が悪用されるには、WooCommerce プラグインもサイトにインストールする必要があることに注意することが重要です。これにより、Elementor Pro で対応する脆弱なモジュールがアクティブになります。
Elementor プラグインのバグが活発に悪用されている
WordPress セキュリティ会社PatchStack は、ハッカーがこの Elementor Pro プラグインの脆弱性を積極的に悪用して、訪問者を悪意のあるドメイン (「away[.]trackersline[.]com」) にリダイレクトしたり、侵害されたサイトにバックドアをアップロードしたりしていると報告しています。
PatchStack によると、これらの攻撃でアップロードされたバックドアの名前は wp-resortpark.zip、wp-rate.php、または lll.zip です。
これらのバックドアに関する詳細はあまり提供されていませんが、lll.zip アーカイブのサンプルが見つかりました。これには、リモートの攻撃者が侵害されたサーバーに追加のファイルをアップロードできるようにする PHP スクリプトが含まれています。
このバックドアにより、攻撃者は WordPress サイトへのフル アクセスを取得して、データを盗んだり、追加の悪意のあるコードをインストールしたりできます。
PatchStack によると、脆弱な Web サイトを標的とする攻撃のほとんどは、次の 3 つの IP アドレスから発信されているため、これらをブロックリストに追加することをお勧めします。
- 193.169.194.63
- 193.169.195.64
- 194.135.30.6
サイトで Elementor Pro を使用している場合、ハッカーはすでに脆弱な Web サイトを標的にしているため、できるだけ早くバージョン 3.11.7 以降 (利用可能な最新版は 3.12.0 です) にアップグレードすることが不可欠です。
先週、WordPress はオンライン ストアのWooCommerce Payments プラグインを強制的に更新し、認証されていない攻撃者が脆弱なサイトへの管理者アクセスを取得できる重大な脆弱性に対処しました。
2023 年 4 月 10 日更新: タイトルと記事を更新して、1,100 万件の参照を削除しました。この数は、無料版とプロ版の両方を使用しているユーザーの合計です。修正のためのThx PluginVulnerabilities。
Comments