WordPressサイトを狙った新たな攻撃手法として、セキュリティ対策プラグインを装った「WP-antymalwary-bot.php」という悪質なマルウェアが発見されました。
このマルウェアは一般的なWordPressプラグインのように偽装していますが、実際には攻撃者がサイトへのアクセスを維持し、管理画面から自身を隠し、さらにリモートでコードを実行できる複数の危険な機能を備えています。また、Command & Control(C&C)サーバーに状況を報告するピング機能や、他のディレクトリにマルウェアを拡散させるコード、広告配信用の悪意あるJavaScriptを注入する機能も含まれています。
すべてのWordPress管理者は直ちにプラグインディレクトリの確認とセキュリティ対策を実施することを強く推奨します。
想定される事象
| 主な危険性 | (1) 管理者アクセスの維持 ・ 「emergency_login_all_admins」機能により、攻撃者はGETリクエストとハードコードされたパスワードを使用して管理者としていつでもログイン可能 (2) 検出回避機能 ・管理画面のプラグイン一覧から自身を隠す特殊なフィルターの実施 ・セキュリティプラグインが動作しているように見せかける偽装 (3) リモートコード実行 ・「execute_admin_command」機能がREST APIを通じてコマンドを受け付け、権限チェックなしでそれらを実行 ・テーマヘッダーへのPHPコード注入 (4) 拡散と広告配信 ・ 他のディレクトリにマルウェアを拡散するコード ・悪意のある広告を配信するJavaScriptの注入 ・広告配信URLの動的更新機能(実装は不完全な部分もあるが、活発な開発が継続中である証拠) |
|---|---|
| 主な侵入経路 | (1) 既存のWordPress/プラグイン/テーマの脆弱性を悪用 (2) 管理者アカウントの認証情報窃取 (3) 偽のセキュリティプラグインとして非公式サイトから導入 (4) 共有サーバー上の他サイトからの感染(クロスコンタミネーション) |
| 技術的な感染指標 | Wordfenceの報告によると、このマルウェアの主な感染指標には以下が含まれます ・「check_plugin」や「emergency_login」を含む予期しないGETリクエスト ・プラグインディレクトリ内の「WP-antymalwary-bot.php」ファイルの存在 ・WordPressダッシュボードに表示されないのに機能しているプラグイン |
| 脆弱性の種類 | CWE-94 コード・インジェクション CWE-284 不適切なアクセス制御 |
| 推奨対応事項 | (1) 緊急確認事項 a)プラグインディレクトリ(wp-content/plugins/)内の不審なファイルチェッ - 特に「WP-antymalwary-bot.php」の存在確認 - WordPressダッシュボードに表示されないのに機能しているプラグインの確認 b)サーバーログでの確認 - 「check_plugin」や「emergency_login」を含むGETリクエストの存在 - REST APIへの不審なアクセス (2) 予防対策 a)プラグインは必ずWordPress公式リポジトリまたは信頼できるベンダーから入手 b)ファイル整合性を確保し、直接のファイル編集を無効化 c)強力な管理者認証情報と多要素認証(MFA)の使用 d)複数の保護層(ファイアウォール、マルウェアスキャン、ログイン保護)を組み合わせた多層防御の採用 ⇒感染が疑われる場合は、外部のセキュリティ専門家に相談し、安全が確認されるまでサイトを一時的に停止することも検討してください。 |
ソフトウェア脆弱性情報の著作権に関する注意事項
This record contains material that is subject to copyright.
Copyright 2012-2024 Defiant Inc.
License: Defiant hereby grants you a perpetual, worldwide, non-exclusive, no-charge, royalty-free, irrevocable copyright license to reproduce, prepare derivative works of, publicly display, publicly perform, sublicense, and distribute this software vulnerability information. Any copy of the software vulnerability information you make for such purposes is authorized provided that you include a hyperlink to this vulnerability record and reproduce Defiant’s copyright designation and this license in any such copy. Read more.
「WordPressセキュリティ保守」をご利用のお客様へ
WordPress
「WordPressセキュリティ保守」対象サイトにつきましては、プラグインディレクトリに対して、WordPressダッシュボードに表示されないのに機能しているプラグインの確認を実施しております。
