攻撃者は、推定 140,000 の Web サイトがインストールのバックアップに使用している WordPress プラグイン、BackupBuddy の重大な脆弱性を積極的に悪用しています。
この脆弱性により、攻撃者は影響を受ける Web サイトから任意のファイルを読み取ってダウンロードすることができます。これには、さらなる侵害に使用できる構成情報やパスワードなどの機密データを含むファイルが含まれます。
WordPress のセキュリティ ベンダーである Wordfence は、26 月 XNUMX 日からこの脆弱性を狙った攻撃を観測していると報告し、 5 万近くの攻撃をブロック それ以来。 プラグインの開発者である iThemes は、攻撃が始まってから 2 週間以上経過した XNUMX 月 XNUMX 日に、この脆弱性に対するパッチを公開しました。 これにより、脆弱性に対する修正が利用可能になる前に、ソフトウェアを使用する少なくとも一部の WordPress サイトが侵害された可能性が高まります。
ディレクトリトラバーサルのバグ
iThemes は、その Web サイトの声明で、ディレクトリ トラバーサルの脆弱性が実行中の Web サイトに影響を与えると説明しています。 BackupBuddy バージョン 8.5.8.0 から 8.7.4.1. プラグインのユーザーは、脆弱なバージョンのプラグインを現在使用していない場合でも、すぐに BackupBuddy バージョン 8.75 に更新するように促されました。
「この脆弱性により、攻撃者は、WordPress インストールで読み取ることができるサーバー上の任意のファイルの内容を表示できる可能性があります」と、プラグイン メーカーは警告しています。
iThemes のアラートは、サイト オペレーターが Web サイトが侵害されているかどうかを判断する方法と、セキュリティを回復するために実行できる手順についてのガイダンスを提供しました。 これらの対策には、データベースのパスワードのリセット、パスワードの変更が含まれます。 WordPressソルト、サイト構成ファイル内の API キーとその他のシークレットをローテーションします。
Wordfence は、攻撃者がこの脆弱性を利用して「/wp-config.php や /etc/passwd ファイルなど、被害者をさらに侵害するために使用できる機密ファイル」を取得しようとしたことを確認したと述べています。
WordPress プラグインのセキュリティ: 固有の問題
BackupBuddy の欠陥は、近年 WordPress 環境で明らかにされた数千の欠陥の XNUMX つにすぎません。そのほとんどすべてがプラグインに関係しています。
今年初めのレポートで、iThemes は、 合計 1,628 件の公開された WordPress の脆弱性 2021 年に — そしてそれらの 97% 以上がプラグインに影響を与えました。 ほぼ半数 (47.1%) が、重大度が高いと評価されました。 そして困ったことに、 脆弱なプラグインの 23.2% には既知の修正プログラムがありませんでした.
Dark Reading が National Vulnerability Database (NVD) をすばやくスキャンしたところ、XNUMX 月の第 XNUMX 週だけで、WordPress サイトに影響を与える数十の脆弱性がこれまでに公開されていることがわかりました。
WordPress サイトの懸念事項は、脆弱なプラグインだけではありません。 悪意のあるプラグインは別の問題です。 ジョージア工科大学の研究者が実施した 400,000 を超える Web サイトの大規模な調査では、 驚異的な 47,337 の悪意のあるプラグイン 24,931 の Web サイトにインストールされ、そのほとんどがまだアクティブです。
JupiterOne の CISO である Sounil Yu 氏は、WordPress 環境に内在するリスクは、機能を拡張するためにプラグイン、統合、およびサードパーティ アプリケーションを活用する環境に存在するリスクと同様であると述べています。
「スマートフォンと同様に、このようなサードパーティ製コンポーネントはコア製品の機能を拡張しますが、コア製品の攻撃面を大幅に増加させるため、セキュリティ チームにとっても問題です」と彼は説明し、これらの製品の審査も困難であると付け加えました。その膨大な数と明確な出所の欠如のためです。
「セキュリティ チームは初歩的なアプローチをとっており、ほとんどの場合、私が XNUMX つの P と呼んでいるもの、つまり人気、目的、権限をざっと見ていきます」と Yu は述べています。 「Apple や Google が管理するアプリ ストアと同様に、悪意のある [プラグイン、統合、およびサードパーティ製アプリ] が顧客に問題を引き起こさないようにするために、マーケットプレイスはより多くの審査を行う必要があります」と彼は指摘します。
別の問題は、 WordPressは広く使われています多くの場合、IT やセキュリティの専門家ではなく、マーケティングや Web デザインの専門家によって管理されていると、Viakoo の CEO である Bud Broomhead 氏は述べています。
「取り付けは簡単ですが、取り外しは後から考えて行うか、まったく行わないでください」と Broomhead 氏は Dark Reading に語っています。 「攻撃面が IoT/OT/ICS に移行したように、攻撃者は IT によって管理されていないシステム、特に WordPress のように広く使用されているシステムを狙っています。」
Broomhead 氏は、「プラグインが脆弱性であるという警告を WordPress が発行していても、セキュリティ以外の優先事項によって、悪意のあるプラグインの削除が遅れる可能性があります」と付け加えています。
