サイバーニュース.jp

世界のサイバーなニュースを配信

Hackers Exploit WordPress Arbitrary Installation Vulnerabilities in the Wild

カテゴリ:

“`json
{
“title”: “WordPressの任意インストール脆弱性を悪用するハッカーたち”,
“content”: “

概要:WordPressプラグインの脆弱性が再び悪用される

サイバーセキュリティ企業Wordfenceは、2つの人気WordPressプラグインにおける重大な脆弱性を標的とした大規模な悪用が再燃していることを明らかにしました。これにより、認証されていない攻撃者が悪意のあるソフトウェアをインストールし、ウェブサイトを乗っ取る可能性があります。

これらの脆弱性は2024年後半に初めて開示され、パッチは1年以上前から利用可能でしたが、ハッカーは2025年10月8日に大規模な攻撃を再開しました。これにより、サイト管理者は直ちに更新するよう緊急に呼びかけられています。

標的となったプラグインとその脆弱性

攻撃の標的となっているのは、GutenKitとHunk Companionという2つのWordPressプラグインです。GutenKitは40,000以上、Hunk Companionは8,000以上のアクティブインストール数を誇ります。

  • GutenKit (バージョン2.1.0まで): 「install-active-plugin」エンドポイントに適切な認証チェックが欠如しており、攻撃者は悪意のあるZIPファイルをWordPressプラグインディレクトリにアップロード・解凍できます。これにより、正規のプラグインを装ったバックドアを展開し、リモートコード実行(RCE)につながる可能性があります。
  • Hunk Companion (バージョン1.8.5まで): 「themehunk-import」エンドポイントが露出しており、攻撃者はこれを利用して、RCEの脆弱性を持つwp-query-consoleのような脆弱なプラグインをWordPressリポジトリから引き込みます。

これらの脆弱性は、Wordfenceの研究者であるSean MurphyとDaniel Rodriguezによって特定され、CVSSスコアは9.8と評価されており、極めて重大なものとされています。

攻撃の手口と規模

攻撃ログからは、洗練された戦術が明らかになっています。一般的なペイロードはGitHubでホストされており、All in One SEOを模倣した難読化されたPHPスクリプト、マルウェアをアップロードするためのファイルマネージャー、大量改ざんやネットワークスニッフィングのためのツールなどが含まれています。また、wp-query-consoleをインストールしてエクスプロイトを連鎖させる試みも確認されています。

Wordfenceのファイアウォールは、2024年9月にルールが展開されて以来、875万件以上の攻撃を阻止しており、特に2025年10月8日から9日にかけて急増しました。攻撃元のIPアドレスとしては、3.141.28.47(349,900ブロック)や13.218.47.110(82,900ブロック)などが上位を占めており、組織的なボットネット活動が示唆されています。

WordPressユーザーへの推奨事項

サイト所有者は、直ちにGutenKitをバージョン2.1.1に、Hunk Companionをバージョン1.9.0にアップグレードする必要があります。また、Wordfenceのようなファイアウォールを有効にしてAPIの悪用をブロックし、インストールされているプラグインに不審な活動がないか監査することが重要です。

Wordfenceは、パッチが公開されてから1年が経過しても、未パッチのサイトが主要な標的であり続けていると警告しており、脅威アクターが古いソフトウェアを悪用し続ける執拗さを示しています。

侵害の痕跡 (IoCs)

  • 不審なリクエスト:
    • /wp-json/gutenkit/v1/install-active-plugin
    • /wp-json/hc/v1/themehunk-import
  • 不審なIPアドレス:
    • 13.218.47.110
    • 3.10.141.23
    • 52.56.47.51
    • 18.219.237.98
    • 2600:1f16:234:9300:70c6:9e26:de1a:7696
    • 18.116.40.45
    • 119.34.179.21
    • 2600:1f16:234:9300:f71:bed2:11e5:4080
    • 194.87.29.184
    • 3.133.135.47
    • 3.141.28.47
    • 3.85.107.39
    • 3.148.175.195
    • 193.84.71.244
    • 3.147.6.140
    • 3.144.26.200
    • 193.233.134.136
  • 一般的な悪意のあるプラグインディレクトリ:
    • /up または /up.zip
    • /background-image-cropper または /background-image-cropper.zip
    • /ultra-seo-processor-wp または /ultra-seo-processor-wp.zip
    • /oke または /oke.zip
  • 正規のプラグインディレクトリ:
    • /wp-query-console
  • 関連ドメイン:
    • ls.fatec[.]info
    • dari-slideshow[.]ru
    • zarjavelli[.]ru
    • korobushkin[.]ru
    • drschischka[.]at
    • dpaxt[.]io
    • cta.imasync[.]com
    • catbox[.]moe (ファイル共有ウェブサイト)

“,
“status”: “publish”
}
“`

元記事: https://gbhackers.com/hackers-exploit-wordpress-arbitrary-installation-vulnerabilities/

投稿をさらに読み込む