WPScanはこのほど、「New Malware Campaign Targets WP-Automatic Plugin|WPScan」において、WordPressのコンテンツ自動投稿プラグイン「WordPress Automatic Plugin by ValvePress | CodeCanyon」から発見された緊急の脆弱性が積極的に悪用されているとして、注意を喚起した。
2024年3月13日(米国時間)に公開されたこの脆弱性はSQLインジェクションとされ、認証されていない攻撃者に悪用されるとWebサイトに不正アクセスされる可能性がある。
脆弱性の概要
脆弱性に関する情報は次のページにまとまっている。
脆弱性のCVEは次のとおり。
- CVE-2024-27956 - SQLインジェクションの脆弱性
脆弱性の影響を受ける製品
脆弱性の影響を受けるとされる製品およびバージョンは次のとおり。
- WordPress Automatic Plugin バージョン3.92.0およびこれ以前のバージョン
脆弱性を修正した製品
脆弱性を修正した製品およびバージョンは次のとおり。
- WordPress Automatic Plugin バージョン3.92.1およびこれ以降のバージョン
脆弱性が及ぼす影響と対策
認証されていない攻撃者はこの脆弱性を悪用し、不正なSQLクエリを実行することができる。これまでに確認された事案では、攻撃者はSQLクエリを通じてWordPressサイトに新しい管理者アカウントを作成し、Webサイトに侵入して追加のプラグインやマルウェア(バックドアなど)を展開するとされる。
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。WPScanはこの脆弱性を悪用した攻撃をこれまでに550万回以上確認したという。このような攻撃を回避するために、当該プラグインの利用者には次のような対策が推奨されている。
- WordPress Automatic Pluginを最新版にアップデートする
- WordPressのアカウントを監査し、不審な管理者アカウントを削除する
- Webサイトのイミュータブルバックアップを定期的に作成する。また、バックアップを復元できることを確認する
WPScanは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開している。このIoCに該当する兆候を発見した場合はすでに侵害されている可能性があるため、速やかに専門家またはセキュリティ企業に相談することが推奨されている。