WPScanはこのほど、「Surge of JavaScript Malware in sites with vulnerable versions of LiteSpeed Cache Plugin|WPScan」において、WordPressのキャッシュプラグイン「LiteSpeed Cache」の脆弱性が積極的に悪用されていると報じた。攻撃者はこの脆弱性を悪用することで、WebサイトにJavaScriptマルウェアを展開するとされる。
LiteSpeed Cacheが抱えている脆弱性の概要
悪用が確認された脆弱性は、「CVE-2023-40000」として追跡されるクロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。これまで、本誌でも「WordPressの人気プラグイン「LiteSpeed Cache」に脆弱性、アップデートを | TECH+(テックプラス)」において報じている。この脆弱性を悪用されると、認証されていない攻撃者はHTTPリクエストを実行することで、機密情報の窃取やWordPressサイトにおける権限の昇格が可能とされる。
侵害の兆候
WPScanによると今回の攻撃は、次の方法で侵害の有無を確認できるという。
- 管理者ユーザー「wpsupp-user」または「wp‑configuser」が存在する
- Webページにスクリプト「https://dns.startservicefounds[.]com/service/st.js」へのリンクが存在する
- WordPressデータベース内に「eval(atob(String.fromCharCode(90,71,57,106,100,87,49,108,」から始まる文字列が存在する
対策
この脆弱性は、「LiteSpeed Cache 5.7.0.1およびこれ以降のバージョン」にて修正されている。脆弱性の影響を受けるプラグインを使用している管理者には、速やかにアップデートすることが推奨されている。
また、上記「侵害の兆候」について調査を実施することが望まれている。いずれかに当てはまる場合、すでに侵害されている可能性がある。この場合はバックアップからWebサイトを侵害前の状態に復元し、プラグインをアップデートする必要がある。
バックアップが存在しない場合、WPScanは次の手順でWebサイトをクリーンアップできるとしている。
- インストールされているプラグインを確認する。必要なプラグインをすべて最新版にアップデートし、それ以外の疑わしいプラグインとプラグインに関連するディレクトリを削除する
- 管理者ユーザー「wpsupp-user」および「wp-configuser」が存在する場合は削除する。他にも不審なアカウントが存在する場合は不要か確認してから削除する
- データベース内に「eval(atob(Strings.fromCharCode」から始まる文字列がないか確認する。文字列が存在する場合は削除時の影響を確認し、問題ない場合は削除する
なお、侵害されたWebサイトにはバックドアや追加のマルウェアがインストールされていることがある。それらについても侵害の有無を確認し、必要な対策を実施する必要がある。対策の手順がわからない場合は、専門家やセキュリティ企業に相談することが推奨されている。