WordPressのFancy Product Designerプラグインを使用しているサイトがないか偵察を行い、ゼロデイの脆弱性をついてサイトにマルウェアのアップロードが行われていることが発覚しました。
Fancy Product Designerは、WordPress、WooCommerce、Shopify向けのプラグインでユーザが独自のグラフィックやコンテンツをアップロードしてサイトをカスタマイズすることができます。
同プラグインの販売統計によると、Fancy Product Designerは17,000以上のウェブサイトに販売・インストールされています。
ゼロデイの脆弱性はWooCommerceサイトにも影響
ゼロデイの脆弱性とはベンダーがパッチを当てていない一般に公開されている脆弱性のことで、場合によっては積極的に悪用されていたり、概念実証のエクスプロイト(IOC)が公開されていたりすることもあります。
この脆弱性は、Wordfence社のセキュリティアナリストであるCharles Sweethill氏が発見した深刻なリモートコード実行(RCE)の脆弱性です。
脅威アナリストのRam Gall氏は「WordPress版のプラグインは、WooCommerceのインストールでも使用されているものであり、脆弱性があります。Shopifyバージョンに関しては、Shopifyが自社のプラットフォーム上でホストされ実行されているサイトに対して、より厳格なアクセスコントロールを行っていることから、攻撃はブロックされる可能性が高いです。」と述べています。
脆弱なサイトが完全に乗っ取られる
このプラグインには悪意のあるファイルがアップロードされるのを防ぐためのチェック機能がありますが、これらのチェック機能は不十分であり、簡単に回避できるため、攻撃者はこのプラグインがインストールされているサイトに実行可能なPHPファイルをアップロードできてしまいます。
これにより、リモートコード実行攻撃を受けた脆弱なサイトが完全に乗っ取られる危険性があります。
この脆弱性はあまり大規模には悪用されていませんが、Fancy Product Designerプラグインを実行している数千のサイトを標的とした攻撃は2週間以上前の2021年5月16日に開始されているようです。
この脆弱性は深刻度が「Critical」と評価されており、プラグインを停止していても一部の構成で悪用される可能性があるため、このプラグインを使用しているユーザはパッチを適用したバージョンが利用可能になるまでプラグインをアンインストールすることが推奨されています。
攻撃を行っているIPアドレスを含む侵害の指標(IOC)は、WordFenceのレポートの最後に掲載されています。
脆弱性発見からのタイムライン
- 2021年5月31日:WordfenceセキュリティアナリストのCharles Sweethillは、サイトクリーニングの一環としてのマルウェア除去とフォレンジック調査の際、ゼロデイの脆弱性の証拠を発見し可能性のある攻撃の調査を開始
- 2021年5月31日:Charles氏がWordfenceの脅威インテリジェンスチームに通知し調査を開始
- 2021年5月31日:概念実証(IOC)を行う
- 2021年5月31日:プラグイン開発者との連絡を開始
- 2021年5月31日:この脆弱性を保護するファイアウォールルールをWordfenceプレミアムのユーザに公開
- 2021年6月01日:プラグイン開発者から連絡に応答あり
- 2021年6月01日:完全な情報開示
攻撃成功の証拠(IOC)
攻撃が成功すると固有のIDとPHPの拡張子を持つファイルが作成され、このファイルは次のいずれかのサブフォルダに表示されます。
wp-admin
または
wp-content/plugins/fancy-product-designer/inc
のサブフォルダにファイルがアップロードされた日付とともに表示されます。
例えば、以下のようになります。
wp-content/plugins/fancy-product-designer/inc/2021/05/30/4fa00001c720b30102987d980e62d5e4.php
または
wp-admin/2021/05/31/1d4609806ff0f4e89a3fb5fa35678fa0.php
この脆弱性に対する攻撃の大半は、以下のIPアドレスから行われています。
69.12.71.82
92.53.124.123
46.53.253.152
Comments