サイバーニュース.jp

世界のサイバーなニュースを配信

WordPressプラグインの脆弱性を悪用し、管理アクセスを奪取するハッカーたち

カテゴリ:

, , , , , , , , ,

概要

WordPressプラグイン「Service Finder Bookings」に存在する重大な認証バイパスの脆弱性が、数千ものWordPressサイトで認証されていない攻撃者が管理者権限を奪取することを可能にしています。この脆弱性の公開から24時間以内に悪用が始まり、これまでにWordfence Firewallによって13,800件以上の悪用試行がブロックされました。

脆弱性の詳細

2025年6月8日、Wordfence Bug Bounty Programへの提出により、Service FinderテーマにバンドルされているService Finder Bookingsプラグインに認証バイパスの脆弱性が発見されました。約6,000のサイトがこのテーマを購入しており、広範な攻撃対象領域が存在します。

この欠陥は、プラグインのservice_finder_switch_back()関数にあります。この関数は、認証チェックなしにクッキー値のみに基づいてユーザーアカウントを切り替えます。結果として、悪意のある攻撃者はoriginal_user_idクッキーを含むリクエストを作成し、管理者を含む任意のアカウントにアクセスできてしまいます。

ベンダーは2025年7月17日にバージョン6.1でこの問題をパッチし、Wordfenceは2025年7月31日にこの脆弱性を公開しました。

脆弱性のあるコードスニペットは以下の通りです:

php function service_finder_switch_back() { if (isset($_COOKIE['original_user_id'])) { $original_user_id = intval($_COOKIE['original_user_id']); if (get_userdata($original_user_id)) { wp_set_current_user($original_user_id); wp_set_auth_cookie($original_user_id); } } }

リクエスターの資格情報やnonce検証のチェックがないため、攻撃者はこの経路を悪用してサイトを完全に侵害することができます。

悪用状況とデータ

公開後すぐに悪用試行が急増しました。Wordfence Intelligenceは、この脆弱性(CVE-2025-5947)にCVSSスコア9.8(Critical)を割り当てています。

2025年8月1日から9月29日の間に、13,800件以上の悪意のあるリクエストがブロックされました。代表的な悪用リクエストは以下の通りです:

text GET /?switch_back=1 HTTP/1.1 Cookie: original_user_id=1; Host: victim-site.com

ブロックされたトラフィックの分析により、少数のIPアドレスからの大量スキャンおよび標的型悪用が明らかになりました。最も活発な脅威元とブロックされたリクエスト数は以下の通りです:

  • 5.189.221.98: 2,700件
  • 185.109.21.157: 2,600件
  • 192.121.16.196: 2,600件
  • 194.68.32.71: 2,300件
  • 178.125.204.198: 1,400件

これらのIPアドレスは、特に9月22日から29日の間にピークを迎え、引き続き大量の悪用試行を生成しています。

緩和策と推奨事項

サイト所有者は、Service Finder Bookingsプラグインを直ちにバージョン6.1に更新する必要があります。ファイアウォールルールだけでは、プラグインが古いままの場合、完全な保護を保証することはできません。

管理者は、switch_backパラメータを含むリクエスト、特に上記のIPアドレスから発信されたものについてログをレビューすべきです。攻撃者は管理者権限を取得した後に証拠を消去できるため、不審なログエントリがないからといって安全であるとは限りません。

継続的な防御のために、Wordfence Premium、Care、Responseの加入者はすでにアクティブなファイアウォールルールを受け取っています。無料ユーザーは、標準の30日間の遅延後にルールを受け取るか、手動でカスタムWAFルールを実装するか、遅滞なくパッチを適用することができます。

サイトが侵害された疑いがある場合、Wordfence Careはインシデント対応とクリーンアップサービスを提供し、Wordfence Responseは1時間以内の対応を約束する24時間365日の修復サービスを提供します。

結論

パッチが適用されるまで、数千のサイトが依然としてリスクにさらされています。Service Finder Bookingsのアップデートを適用し、異常なアクティビティがないかログを監視し、脆弱なバージョンを実行している同僚とこの勧告を共有することが不可欠です。認証バイパスの悪用に対して警戒を怠らないことが、WordPress環境を完全なサイト乗っ取りから保護するために重要です。

元記事: https://gbhackers.com/wordpress-plugin-vulnerability-3/

投稿をさらに読み込む