概要
WordPressサイトを標的とした大規模なエクスプロイトキャンペーンが進行中です。この攻撃は、GutenKitおよびHunk Companionプラグインの古いバージョンに存在する、深刻度の高い脆弱性を悪用しており、リモートコード実行(RCE)を可能にします。セキュリティ企業Wordfenceは、わずか2日間で870万件の攻撃をブロックしたと報告しています。
攻撃の詳細
このキャンペーンでは、以下の3つの脆弱性が悪用されています。これらはすべて深刻度CVSS 9.8と評価されています。
- CVE-2024-9234: GutenKitプラグイン(40,000インストール)の認証不要なRESTエンドポイントの欠陥。認証なしで任意のプラグインをインストールできます。
- CVE-2024-9707およびCVE-2024-11972: Hunk Companionプラグイン(8,000インストール)のthemehunk-import RESTエンドポイントにおける認証不足の脆弱性。これも任意のプラグインのインストールにつながります。
攻撃者はこれらの脆弱性を悪用し、リモートコード実行を可能にする別の脆弱なプラグインを導入します。
脆弱なバージョンと修正
影響を受けるプラグインのバージョンは以下の通りです。
- CVE-2024-9234はGutenKit 2.1.0およびそれ以前のバージョンに影響します。
- CVE-2024-9707はHunk Companion 1.8.4およびそれ以前のバージョンに影響します。
- CVE-2024-11972はHunk Companion 1.8.5およびそれ以前のバージョンに影響します。
これらの脆弱性に対する修正は、Gutenkit 2.1.1(2024年10月リリース)およびHunk Companion 1.9.0(2024年12月リリース)で提供されています。しかし、ベンダーが修正をリリースしてからほぼ1年が経過しているにもかかわらず、多くのウェブサイトで依然として脆弱なバージョンが使用されている状況です。
攻撃の手口とIoC
Wordfenceの調査によると、攻撃者はGitHub上で「’up’.ZIP」というアーカイブに格納された悪意のあるプラグインをホストしています。このアーカイブには、ファイルのアップロード、ダウンロード、削除、権限変更を可能にする難読化されたスクリプトが含まれています。特に、パスワードで保護されたスクリプトは、All in One SEOプラグインのコンポーネントを装い、攻撃者が管理者として自動的にログインするために使用されます。
攻撃者はこれらのツールを利用して、永続性を維持し、ファイルを盗んだり、削除したり、コマンドを実行したり、サイトが処理するプライベートデータを傍受したりします。直接管理者バックドアを確立できない場合、攻撃者はしばしば脆弱な「wp-query-console」プラグインをインストールし、認証不要なRCEに悪用します。
管理者向けの侵害の痕跡(IoC)としては、サイトのアクセスログで以下のリクエストを探すことが推奨されます。
/wp-json/gutenkit/v1/install-active-plugin/wp-json/hc/v1/themehunk-import
また、以下のディレクトリに不正なエントリがないか確認してください。
/up/background-image-cropper/ultra-seo-processor-wp/oke/wp-query-console
推奨事項
ウェブサイト管理者は、すべてのプラグインをベンダーから提供されている最新バージョンに更新することが強く推奨されます。