ハッカーは、50,000 以上の Web サイトで使用されている WordPress プラグインである YITH WooCommerce Gift Cards Premium の重大な欠陥を積極的に狙っています。
YITH WooCommerce Gift Cards Premium は、Web サイト運営者がオンライン ストアでギフト カードを販売するためのプラグインです。
CVE-2022-45359 (CVSS v3: 9.8) として追跡されているこの脆弱性を悪用すると、認証されていない攻撃者が、サイトへのフル アクセスを提供する Web シェルなどの脆弱なサイトにファイルをアップロードできます。
CVE-2022-45359 は 2022 年 11 月 22 日に公開され、3.19.0 までのすべてのプラグイン バージョンに影響を与えました。この問題に対処したセキュリティ アップデートはバージョン 3.20.0 でしたが、ベンダーは現在、推奨されるアップグレード ターゲットである 3.21.0 をリリースしています。
残念ながら、多くのサイトはまだ古い脆弱なバージョンを使用しており、ハッカーはそれらを攻撃するための有効なエクスプロイトをすでに考案しています.
Wordfence の WordPress セキュリティ専門家によると、悪用の取り組みは順調に進んでおり、ハッカーは脆弱性を利用してサイトにバックドアをアップロードし、リモートでコードを実行し、乗っ取り攻撃を実行しています。
攻撃で積極的に悪用される
Wordfence は、ハッカーが攻撃で使用しているエクスプロイトをリバース エンジニアリングし、「admin_init」フックで実行されるプラグインの「import_actions_from_settings_panel」関数に問題があることを発見しました。
さらに、この機能は、脆弱なバージョンでは CSRF または機能チェックを実行しません。
これら 2 つの問題により、認証されていない攻撃者が、適切なパラメーターを使用して「/wp-admin/admin-post.php」に POST リクエストを送信し、サイトに悪意のある PHP 実行可能ファイルをアップロードすることが可能になります。
.png)
悪意のあるリクエストは、未知の IP アドレスからの予期しない POST リクエストとしてログに表示されます。これは、サイト管理者が攻撃を受けている兆候であるはずです。
Wordfence によって発見されたアップロードされたファイルは次のとおりです。
- kon.php/1tes.php – このファイルは、リモートの場所 (shell[.]prinsh[.]com) からメモリ内の「マリファナ シェル」ファイル マネージャーのコピーをロードします。
- b.php – シンプルなアップローダ ファイル
- admin.php – パスワードで保護されたバックドア
アナリストの報告によると、ほとんどの攻撃は、管理者が脆弱性にパッチを当てる前に 11 月に発生しましたが、2022 年 12 月 14 日に 2 回目のピークが観測されました。
IP アドレス 103.138.108.15 は重要な攻撃源であり、10,936 の Web サイトに対して 19,604 件のエクスプロイトの試みが開始されました。次に大きい IP アドレスは 188.66.0.135 で、928 の WordPress サイトに対して 1,220 回の攻撃が行われました。
悪用の試みはまだ進行中であるため、YITH WooCommerce Gift Cards Premium プラグインのユーザーは、できるだけ早くバージョン 3.21 にアップグレードすることをお勧めします。
Comments