GWに確認されたWordPressの脆弱性と攻撃観測について
みなさんGW、というよりSTAY HOME週間はいかがお過ごしだったでしょうか。
私もおうち時間を過ごしていたんですが、長年見ずにいた「タイタニック」と「ショーシャンクの空に」を見ることができました。
こういった話を見ると、危機管理だったり機転だったりセキュリティに通じる何かを感じることがあるのかなーと、勝手に思っていました。
さて話変わって、早速本題ですが、当ブログでも時々紹介しているWordfenceのブログにて、WordPressの主にプラグインに係る脆弱性の情報が複数公開されました。
普段であれば、静観することが多いのですが、後述の通り、今回は「短期間での攻撃の急増」、「広い影響範囲」、「日本語サイトが充実していて有効なインストールが多いプラグイン」などの要素を考慮し、まとめてみました。
目次
WordPressサイトへの攻撃観測
ソースとなったのは以下の記事です。
内容を要約すると、
- 4/28からWordPressサイトに存在するXSSの脆弱性を悪用した攻撃が急増
- 5/5までの数日間で30倍以上の規模に膨れ上がっていることが確認されている(Wordfence調べ)
- 攻撃の観測数は2000万件以上で、5/3の観測では50万件以上の特定サイトに対する攻撃が確認されている。
it’s only in the past few days that they’ve truly ramped up, to the point where more than 20 million attacks were attempted against more than half a million individual sites on May 3, 2020.
- 過去一か月で、24,000IPから90万件以上のサイトへの攻撃が行われている。
- 単一の攻撃グループによって行われている模様
- 根拠は不正なJavaScriptの挙動に共通点が見られるため
- サイトへの訪問者をリダイレクトさせ、管理者用のセッションを利用しサイトのヘッダにバックドアを埋め込もうとする
- 根拠は不正なJavaScriptの挙動に共通点が見られるため
悪用された脆弱性の種類
Easy2Map(https://wordpress.org/plugins/easy2map/)
- XSS脆弱性
- https://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-008072.html
- 最終更新は4年前のプラグイン
- すべての攻撃の半数以上を占めている
- 2019年の8月にはWordPressの公式プラグインレポジトリから削除されている
Blog Designer(https://wordpress.org/plugins/blog-designer/)
- XSS脆弱性
- https://wpvulndb.com/vulnerabilities/9266
- 2019年にパッチ適用済み
- 日本語非対応
WP GDPR Compliance(https://wordpress.org/plugins/wp-gdpr-compliance/)
- 権限昇格の脆弱性
- https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-014246.html
- 2018年末にパッチ適用済み
- 脆弱性が残っているものは5000サイト程度だとされている
Total Donations for Wordpress(https://codecanyon.net/item/total-donations-for-wordpress/9985487)
- WordPressサイトの設定変更の脆弱性
- https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-001796.html
- 2019年初めに削除済み
- 残りは1000件未満の見込み
Newspaperテーマ(https://themeforest.net/item/newspaper/5489609)
- XSS脆弱性
- https://www.wordfence.com/blog/2017/08/traffictrade-malware/
- 2016年にパッチ適用済み
プラグインElementor Pro関連のゼロディ脆弱性
続いて、ElementorというプラグインのProバージョンに関連する脆弱性についてです。
まず、このプラグインがどのようなものかを調べてみたのですが、わかりやすいサイトが存在しました。
簡単にまとめてみるとこんな感じ
- プラグインの概要
さあ、そんなElementorですが、今回確認された脆弱性は以下2種類のプラグインに関連します。
- Elementor Pro
- ユーザの登録機能を有効にしている場合に脆弱性が有効
- 現在100万件以上のアクティブなインストールを確認している
- パッチ未公開
2020年5月7日(現地時間) に脆弱性の修正版Elementor PRO version 2.9.4が公開されました。
The Elementor Pro Changelog- Version Updates | Elementor.com
Ultimate Addons for Elementor
攻撃への悪用
- いずれも悪用が確認されているとのこと(Wordfenceより)
- そのため悪用方法などの詳細は非公開
Elementorの無料版は影響を受けない
- ちなみに無料版も400万件以上のインストールが確認されている
登録されたユーザが任意のファイルをアップロードすることで遠隔から任意のコードを実行可能になりうる
- 想定される被害
最近は、ホームページ作成を自身で行う中小企業も多く、コードを書かずに作成できるようなプラグインは重宝されますよね。
そのような背景を考えると影響は大きいように感じます。
Ninja FormsのCSRF脆弱性
最後はNinja Formsというフォーム作成用プラグインに係る脆弱性です。
このプラグインは、日本語に対応しておりGUIで簡単にフォームを作ることができるようです。 確かに検索してみると複数の日本語サイトが確認できます。
脆弱性の概要は以下です。
- CVE-2020-12462が採番されている
- 100万件以上のインストールが確認されている
- 攻撃への悪用例
- 管理者を欺くことで不正なJavascriptを含めた問い合わせフォームをインポートさせたり、既存のフォームを不正なバージョンに更新させたりする
- 4/28に修正バージョンが公開済み
今でこそGoogleフォームの活用が進んでいる気がしますが、すでにホームページを運用していて、フォーム機能を付けたい場合はGUIで簡単に編集できるプラグインは使われる余地がありそうですね。
まとめ
私自身、ホームページを作成し、運用したことがあるのですが、作るまでは良くても運用がなかなか大変。。。
更新は日常的に発生する上、インフラ運用(とはいっても契約更新やNW設定の見直し程度ですが)もあるため、一人では手いっぱいになってしまいがちです。
だからこそなるべく素人でも運用できるように、もっと言えば自分から手離れできるようにGUIで操作できるようなプラグインを限定的に導入したくなる気持ちはすごくよくわかります。
企業ならまだしも、小さい規模でやっている場合、検証環境などもないので、一発で本番適用する。
導入するプラグインも決め打ちになりがちみたいなことがあるんじゃないかな。
プラグインの情報共有会とかは、重要なんだろうと思いつつ、エンジニアじゃないと入り込めないのが難点。。。
このあたりの課題に解決策を見いだせた人が、次のITベンチャーを立ち上げるんですかね。
面白そう。
改訂履歴
2020年5月9日 脆弱性の修正版Elementor PRO version 2.9.4が公開された旨、追記