みなさんGW、というよりSTAY HOME週間はいかがお過ごしだったでしょうか。

私もおうち時間を過ごしていたんですが、長年見ずにいた「タイタニック」と「ショーシャンクの空に」を見ることができました。

こういった話を見ると、危機管理だったり機転だったりセキュリティに通じる何かを感じることがあるのかなーと、勝手に思っていました。

さて話変わって、早速本題ですが、当ブログでも時々紹介しているWordfenceのブログにて、WordPressの主にプラグインに係る脆弱性の情報が複数公開されました。

普段であれば、静観することが多いのですが、後述の通り、今回は「短期間での攻撃の急増」、「広い影響範囲」、「日本語サイトが充実していて有効なインストールが多いプラグイン」などの要素を考慮し、まとめてみました。

---

目次

• WordPressサイトへの攻撃観測
• プラグインElementor Pro関連のゼロディ脆弱性
• Ninja FormsのCSRF脆弱性
• まとめ

---

WordPressサイトへの攻撃観測

ソースとなったのは以下の記事です。

www.wordfence.com

内容を要約すると、

• 4/28からWordPressサイトに存在するXSSの脆弱性を悪用した攻撃が急増
• 5/5までの数日間で30倍以上の規模に膨れ上がっていることが確認されている(Wordfence調べ)
• 攻撃の観測数は2000万件以上で、5/3の観測では50万件以上の特定サイトに対する攻撃が確認されている。

it’s only in the past few days that they’ve truly ramped up, to the point where more than 20 million attacks were attempted against more than half a million individual sites on May 3, 2020.

• 過去一か月で、24,000IPから90万件以上のサイトへの攻撃が行われている。
• 単一の攻撃グループによって行われている模様
  • 根拠は不正なJavaScriptの挙動に共通点が見られるため
    • サイトへの訪問者をリダイレクトさせ、管理者用のセッションを利用しサイトのヘッダにバックドアを埋め込もうとする

悪用された脆弱性の種類

Easy2Map(https://wordpress.org/plugins/easy2map/)

    - XSS脆弱性
        - https://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-008072.html
    - 最終更新は4年前のプラグイン
    - すべての攻撃の半数以上を占めている
    - 2019年の8月にはWordPressの公式プラグインレポジトリから削除されている

Blog Designer(https://wordpress.org/plugins/blog-designer/)

    - XSS脆弱性
        - https://wpvulndb.com/vulnerabilities/9266
    - 2019年にパッチ適用済み
    - 日本語非対応

WP GDPR Compliance(https://wordpress.org/plugins/wp-gdpr-compliance/)

    - 権限昇格の脆弱性
        - https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-014246.html
    - 2018年末にパッチ適用済み
    - 脆弱性が残っているものは5000サイト程度だとされている

Total Donations for Wordpress(https://codecanyon.net/item/total-donations-for-wordpress/9985487)

    - WordPressサイトの設定変更の脆弱性
        - https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-001796.html
    - 2019年初めに削除済み
    - 残りは1000件未満の見込み

Newspaperテーマ(https://themeforest.net/item/newspaper/5489609)

    - XSS脆弱性
    - https://www.wordfence.com/blog/2017/08/traffictrade-malware/
    - 2016年にパッチ適用済み

---

プラグインElementor Pro関連のゼロディ脆弱性

続いて、ElementorというプラグインのProバージョンに関連する脆弱性についてです。

www.wordfence.com

まず、このプラグインがどのようなものかを調べてみたのですが、わかりやすいサイトが存在しました。

elefantastic.tokyo

簡単にまとめてみるとこんな感じ

• プラグインの概要

  • ドラッグ&ドロップで簡単にサイトが作れる。

    • つまり、Wixみたいな感じに使える

  • Proの強み

    - SNSやニュース記事など動的なコンテンツを活用できる
    - 問い合わせフォーム機能が使える
    - テーマとしてページのテンプレを作成できる
    - 詳細は上記サイトまで
    

さあ、そんなElementorですが、今回確認された脆弱性は以下2種類のプラグインに関連します。

• Elementor Pro
  • ユーザの登録機能を有効にしている場合に脆弱性が有効
  • 現在100万件以上のアクティブなインストールを確認している
  • パッチ未公開

---

2020年5月7日(現地時間) に脆弱性の修正版Elementor PRO version 2.9.4が公開されました。

The Elementor Pro Changelog- Version Updates | Elementor.com

---

• Ultimate Addons for Elementor

  • open registrationをユーザの登録機能を有効にしていなくてもElementor Proの脆弱性を悪用できる
  • 1.24.2にて脆弱性は修正済み

• 攻撃への悪用

  • いずれも悪用が確認されているとのこと(Wordfenceより)
  • そのため悪用方法などの詳細は非公開

• Elementorの無料版は影響を受けない

  • ちなみに無料版も400万件以上のインストールが確認されている

• 登録されたユーザが任意のファイルをアップロードすることで遠隔から任意のコードを実行可能になりうる

• 想定される被害
  • バックドアのインストール
  • WordPressの管理者権限の取得
  • サイトの完全消去

最近は、ホームページ作成を自身で行う中小企業も多く、コードを書かずに作成できるようなプラグインは重宝されますよね。

そのような背景を考えると影響は大きいように感じます。

---

Ninja FormsのCSRF脆弱性

最後はNinja Formsというフォーム作成用プラグインに係る脆弱性です。

www.wordfence.com

このプラグインは、日本語に対応しておりGUIで簡単にフォームを作ることができるようです。 確かに検索してみると複数の日本語サイトが確認できます。

脆弱性の概要は以下です。

• CVE-2020-12462が採番されている
• 100万件以上のインストールが確認されている
• 攻撃への悪用例
  • 管理者を欺くことで不正なJavascriptを含めた問い合わせフォームをインポートさせたり、既存のフォームを不正なバージョンに更新させたりする
• 4/28に修正バージョンが公開済み

今でこそGoogleフォームの活用が進んでいる気がしますが、すでにホームページを運用していて、フォーム機能を付けたい場合はGUIで簡単に編集できるプラグインは使われる余地がありそうですね。

---

まとめ

私自身、ホームページを作成し、運用したことがあるのですが、作るまでは良くても運用がなかなか大変。。。

更新は日常的に発生する上、インフラ運用(とはいっても契約更新やNW設定の見直し程度ですが)もあるため、一人では手いっぱいになってしまいがちです。

だからこそなるべく素人でも運用できるように、もっと言えば自分から手離れできるようにGUIで操作できるようなプラグインを限定的に導入したくなる気持ちはすごくよくわかります。

企業ならまだしも、小さい規模でやっている場合、検証環境などもないので、一発で本番適用する。

導入するプラグインも決め打ちになりがちみたいなことがあるんじゃないかな。

プラグインの情報共有会とかは、重要なんだろうと思いつつ、エンジニアじゃないと入り込めないのが難点。。。

このあたりの課題に解決策を見いだせた人が、次のITベンチャーを立ち上げるんですかね。

面白そう。

改訂履歴

2020年5月9日 脆弱性の修正版Elementor PRO version 2.9.4が公開された旨、追記