トレンドマイクロは4月30日、フィンランドのセキュリティリサーチャーJoukoPynnonen氏が報告したCMS「WordPress」に深刻な脆弱性について解説した。

今回の事態は、JoukoPynnonen氏が4月26日(現地時間)のWordPressの脆弱性を報告した。その後、WordPressではセキュリティを強化した「WordPress4.2.1」を公開し、すべてのユーザーに更新するよう促している。最新バージョンはWordPressのブログやダッシュボードからダウンロードできる。

脆弱性は、攻撃者が悪用することで、コメントやフォーラム、ディスカッションを通じて「クロスサイトスクリプティング(XSS)」を実行できるというもの。この手法は「蓄積型XSS」と呼ばれるもので、Webサイトが蓄積しているコンテンツ中にスクリプトを紛れ込ませる。

実行方法は、WordPressで作成されたブログやWebサイト上のコメント欄に、HTMLもしくはJavaScriptのコードとテキストを追加する。コードはWordPressのデータベースに自動的に保存され、Webサイトの管理者が、ポータルサイトにアクセスすると、さらに不正なスクリプトが実行される。

スクリプトは、バックドア活動を実行するシェルスクリプトで記述されたファイルをサーバーにアップロードしたり、管理者権限を利用して他のユーザを追加するなどのさまざまな不正活動を行う。

これにより、攻撃者はアップロードしたシェルのファイルを利用してサーバーにアクセスしたり、管理者権限により追加された新規のユーザを利用してログインできる。こうしたことは管理者の承認や認識なしに裏で実行される。