Wordpress

ハッカーは、概念実証 (PoC) エクスプロイトが公開されてから約 24 時間後に、WordPress Advanced Custom Fields プラグインで最近修正された脆弱性を積極的に悪用しています。

問題の脆弱性は CVE-2023-30777 で、認証されていない攻撃者が機密情報を盗み、影響を受ける WordPress サイトの権限を昇格させることを可能にする、重大度の高いリフレクト クロスサイト スクリプティング (XSS) の欠陥です。

この欠陥は、Web サイト セキュリティ会社 Patchstack によって 2023 年 5 月 2 日に発見され、プラグイン ベンダーがバージョン 6.1.6 のセキュリティ アップデートをリリースした翌日の5 月 5 日に概念実証エクスプロイトとともに公開されました。

昨日 Akamai Security Intelligence Group (SIG) が報告したように、2023 年 5 月 6 日から、Patchstack の記事で提供されているサンプル コードを使用した大規模なスキャンと悪用活動が観察されました。

「Akamai SIG は XSS 攻撃データを分析し、エクスプロイト PoC が公開されてから 24 時間以内に開始された攻撃を特定した」と報告書には記載されています

「これで特に興味深いのは、クエリ自体です。攻撃者は、書き込みからパッチスタックのサンプル コードをコピーして使用しました。」

単一の脅威アクターによる悪用の試み
単一の脅威アクター(Akamai)による悪用の試み

wordpress.org の統計情報に基づくと、影響を受ける WordPress プラグインを使用している 140 万以上の Web サイトが最新バージョンにアップグレードされていないことを考えると、攻撃者が探索すべき攻撃対象領域はかなり広いことがわかります。

XSS の欠陥では、プラグインにアクセスできるログイン ユーザーがブラウザ上で悪意のあるコードを実行する必要があり、攻撃者にサイトへの高い特権アクセスを与えます。

悪意のあるスキャンは、この軽減要素が、基本的なトリックとソーシャル エンジニアリングを通じて攻撃者を克服できると信じている攻撃者を落胆させないことを示しています。

また、このエクスプロイトは影響を受けるプラグイン バージョンのデフォルト設定で機能するため、追加の労力を必要とせずに脅威アクターが成功する可能性が高まります。

脆弱なプラグインを使用している WordPress サイト管理者は、進行中のスキャンや悪用行為から保護するために、利用可能なパッチを直ちに適用することをお勧めします。

推奨されるアクションは、「Advanced Custom Fields」の無料プラグインとプロ プラグインをバージョン 5.12.6 (バックポート) および 6.1.6 にアップグレードすることです。