ハッカーは脆弱なWordPressプラグインを積極的に使用してWebサイトを攻撃します

公開: 2021-12-23

攻撃するWordPressプラグイン
ますます多くのハッカーが、WordPressプラグイン攻撃で最近発見された最新のセキュリティ脆弱性を使用しています。 サイバー犯罪者は、プラグインの更新に失敗し、脆弱なバージョンの古いバージョンを使用しているWebサイトの所有者をターゲットにしています。

ハッカーのいくつかのグループがそれを行います。 今のところ、セキュリティの専門家は、パッチが適用されていないバージョンのProfile Builder、ThemeGrill Demo Importer、およびDuplicatorプラグインを攻撃している少なくとも2つのグループを知っています。

これらは、多数のWebサイトにインストールされている非常に人気のあるプラグインです。 所有者がこれら3つのプラグインを更新できなかったために、悪用されるリスクのあるWebサイトが数十万あると推定されています。

上記のプラグインはすべて、1つの共通点を共有しています。 セキュリティ研究者は最近、これらのプラグインで見つかった、Webサイトの侵害につながる可能性のある重大なセキュリティバグに関するレポートを共有しました。

セキュリティの専門家がTonyredballと呼ぶ敵の1人は、次の脆弱なバージョンを持つWPWebサイトにアクセスします。

ThemeGrill Demo Importer (バージョン1.6.3より前)この欠陥により、すべてのユーザーが管理者のようにログインしてデータベース全体をワイプできます。

プロファイルビルダー(バージョン3.1.1より前)このバグにより、認証されていないユーザーも管理者権限を取得できます。

トニーレッドボールグループ
Defiantのセキュリティ専門家は、Tonyredballグループが、新しい管理者アカウントの電子メールとユーザー名を含むWeb要求を使用して、プロファイルビルダープラグインの管理者登録バグを悪用していると指摘しています。

同時に、専門家は、このハッカーグループが、ThemeGrill DemoImporterプラグインで見つかったデータベース削除のバグを悪用する他の多くの攻撃に関与していると信じています。

ThemeGrill Demo Importerが大量に利用されている理由は、おそらくそれが簡単にできることです。 攻撃者は、WordPressプラグインを介して脆弱なサイトの攻撃にリクエストを送信するだけで済みます。 また、プロファイルビルダーの場合、攻撃者は最初に脆弱なフォームを見つける必要があるため、より深刻な努力を払う必要があります。

両方の脆弱性を悪用した最終的な結果は、管理者権限と被害者のWebサイトにアクセスする機能を取得することです。 アクセスが取得されると、テーマとプラグインのアップローダーの助けを借りて、ハッカーは悪意のあるスクリプトをWordPressダッシュボードにアップロードします。

攻撃者は、wp-block-plugin.php、blockspluginn.php、supersociall.php、wp-block-plugin.phpなどのファイル名に関連付けられた複数の種類のスクリプトを利用します。

最初のエクスプロイトの後、攻撃者はより多くのファイルに感染し、サイト上でより広い存在感を得ることを目的とした追加のペイロードを配信します。 さらに、研究者は、マルウェアの作成者が同じ悪用方法に対して脆弱な他のWPサイトを探し始めることを観察しました。

多くの場合、攻撃者は正当なJavaScriptファイルに悪意のあるコードを挿入します。 この移動の目的は、サイバー犯罪者によって制御されている悪意のあるWebサイトに訪問者をリダイレクトする別のサーバーからもう1つのスクリプトをロードすることです。

現時点では、このリダイレクトは簡単に見つけることができ、洗練されていませんが、悪意のあるユーザーがスクリプトを変更して、より巧妙になる可能性があります。

あるケースでは、訪問者は、ボットではなく実在の人物であることを証明するために、ブラウザの通知ポップアップで[許可]を押すように要求するTalktofrankyというWebサイトにリダイレクトされました。 訪問者がそうする場合、彼らはサイトがスパムを含むさまざまな通知を送信することを許可しました。

これは小さな脅威のように見えるかもしれませんが、ハッキングが容易ではないMacデバイスの所有者は、そのようなトリックの犠牲になることがよくあります。 たとえば、ユーザーはA.akamaihd.netなどの不正なサイトにリダイレクトされていることに気づきました。

セキュリティ研究者は、この状況に特化したオンラインフォーラムの1つで議論を見つけ、かなりの数の犠牲者がいることを示唆しています。

興味深いことに、Tonyredballグループのすべての攻撃は、単一のIP-45.129.96.17から発生しています。 エストニアにあり、GMHostと呼ばれるローカルホスティングプロバイダーに割り当てられています。 このプロバイダーは、多くのサイバー犯罪者を引き付ける貧弱なポリシーでよく知られています。 このプロバイダーは、苦情に対応していません。

プラグインが脆弱なため、WordPressWebサイトがいくつヒットするかは明確ではありません。 研究者は、プロファイルビルダープラグインが約37kサイトにインストールされ、ThemeGrill DemoImporterが約40kサイトにインストールされる可能性があると推定しています。

ソーラーサルバドール1234グループ
より洗練されているように見えるもう1つのグループは、Solarsalvador1234と呼ばれます。 Defiantの研究者は、悪用につながるWebリクエストでよく使用される電子メールアドレスの名前であるため、この名前を付けました。

この脅威アクターは、上記の2つのプラグインも標的にしていますが、それらに加えて、Solarsalvador1234グループのリストにはDuplicatorプラグインが含まれています。 このWordPressプラグインは、Webサイトのクローンを作成してある場所から別の場所に移行するのに役立ちます。 100万以上のアクティブなインストールがあります!

1.3.28より前のバージョンのDuplicatorには、認証されていない訪問者が対象のWebサイトからさまざまなファイルをダウンロードすることを許可するセキュリティ上の欠陥があると報告されています。

このバグは、被害者のサイトの構成ファイル(データベースにアクセスするためのユーザー資格情報を格納するwp-config.php)を取得するためによく使用されます。 主な目標は、侵害されたWebサイトで長期的かつ長期的な侵入の可能性を獲得することです。

したがって、これら3つのセキュリティの脆弱性を悪用することにより、攻撃者は1日の終わりに、被害者のWebサイトへの完全な管理アクセスを取得します。 これらの脆弱性はすでに公開され、パッチが適用されていることを忘れないでください。

ハッキングの場合、Webサイトの所有者は、セキュリティのベストプラクティスに従わず、攻撃のWordPressプラグインを時間内に更新できなかったことを自分のせいにする必要があります。 最近の統計に基づくと、セキュリティ研究者は、約80万のWebサイトがまだパッチが適用されていないバージョンのDuplicatorを実行していると考えています。

上記の3つの脆弱なプラグインだけが悪用されているわけではないと信じる理由はたくさんあります。

繰り返しになりますが、Webサイトの所有者は、セキュリティ更新プログラムがリリースされたら、WordPress Webサイトを攻撃するハッカーが増え、新旧のセキュリティ上の欠陥をすばやく見つけて悪用するため、それをインストールすることを優先する必要があることを覚えておく必要があります。