WordPress

ハッカーたちは現在、大規模なインターネット スキャンで数千の WordPress Web サイト上で脆弱な Elementor プラグイン バージョンの Essential Addons を積極的に調査しており、今月初めに明らかになった重要なアカウント パスワード リセットの欠陥を悪用しようとしています。

この重大度が重大な欠陥は CVE-2023-32243 として追跡されており、Elementor バージョン 5.4.0 ~ 5.7.1 の Essential Addons に影響を及ぼし、認証されていない攻撃者が管理者アカウントのパスワードを恣意的にリセットし、Web サイトの制御を奪うことを可能にします。

100 万以上の Web サイトに影響を与えたこの欠陥は、2023 年 5 月 8 日に PatchStack によって発見され、5 月 11 日にベンダーによって修正され、プラグインのバージョン 5.7.2 がリリースされました。

搾取の規模

2023 年 5 月 14 日、研究者は概念実証 (PoC) エクスプロイトを GitHub で公開し、このツールが攻撃者に広く利用可能になりました。

当時、読者および Web サイト所有者は、欠陥を利用して管理者パスワードをリセットしたハッカーによってサイトが攻撃されたと報告しました。それでも、搾取の規模は不明だった。

昨日公開された Wordfence のレポートは、さらに多くの光を当てており、同社は Web サイト上でこのプラグインの存在を探る何百万もの調査試行を観察し、少なくとも 6,900 件の悪用の試みをブロックしたと主張しています。

欠陥の公開の翌日、WordFence はプラグインの「readme.txt」ファイルを探す 5,000,000 件の精査スキャンを記録しました。このファイルにはプラグインのバージョン情報が含まれているため、サイトが脆弱かどうかを判断できます。

記録された失敗スキャンの数
記録された毎日のスキャンの数(Wordfence)

「正当な目的でインストール データを調査するサービスは存在しますが、このデータは、攻撃者が脆弱性が公開されるとすぐに脆弱なサイトを探し始めたことを示していると考えています」とWordfence はレポートでコメントしています

これらのリクエストのほとんどは、「185.496.220.26」と「185.244.175.65」という 2 つの IP アドレスから送信されています。

悪用の試みとしては、GitHub で公開された PoC エクスプロイトを利用し、IP アドレス「78.128.60.112」がかなりの量で攻撃されました。他の上位の攻撃 IP の試行回数は 100 ~ 500 回です。

ほとんどの悪用の試みの原因
ほとんどの悪用の試みの起源(Wordfence)

「Essential Addons for Elementor」プラグインを使用している Web サイト所有者は、バージョン 5.7.2 以降をインストールして、利用可能なセキュリティ アップデートをすぐに適用することをお勧めします。

「この脆弱性が悪用されやすいことを考慮すると、プラグインのすべてのユーザーがサイトがこの脆弱性によって侵害されないようにするために、できるだけ早く更新することを強くお勧めします」とWordfenceはアドバイスしている。

さらに、Web サイト管理者は、Wordfence のレポートにリストされている侵害の兆候を使用し、攻撃的な IP アドレスをブロックリストに追加して、これらの攻撃と今後の攻撃を阻止する必要があります。

Wordfence の無料セキュリティ パッケージのユーザーは、2023 年 6 月 20 日に CVE-2023-32243 に対する保護の対象となるため、現在も危険にさらされています。