「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。
3月以降脆弱性が確認されたプラグイン
2019年3月以降、脆弱性の悪用が報告されたプラグインは次のもの。
| No | 報告日 | 対象のプラグイン | インストール数 | バージョン | 脆弱性 |
|---|---|---|---|---|---|
| 1 | 2019/03/15 | Easy WP SMTP | 40万件超 | 1.3.9以前 | 管理者への特権昇格 |
| 2 | 2019/03/21 | Social Warfare | 6万件超 | 3.5.2以前 | XSS(格納型)、任意コードの実行 |
| 3 | 2019/03/30 | Yuzo Related Posts | 6万件超 | 5.12.91以前 | XSS(格納型) |
| 4 | 2019/04/09 | Visual CSS Style Editor | 3万件超 | 7.1.9以前 | 管理者への特権昇格 |
- 全て脆弱性検証コード公開と攻撃活動観測あり。
- 報告に上がっているのは詐欺サイトへの誘導。以下はセキュリティ企業が報告しているもの。
setforspecialdomain[.]com somelandingpage[.]com getmyfreetraffic[.]com hellofromhony[.]org pastebin.com/raw/0yJzqbYf pastebin.com/raw/PcfntxEs 185.212.131.45 185.212.128.22 185.212.131.46 86.109.170.200 176.123.9.52
- Defiantは脆弱性を悪用する活動は同一のグループによるものと推定。
- Yuzo Related PostsとYellow Pencilは
Wordpress.orgで4/16時点で非公開状態。 Wordpress.orgで非公開化されたものはセキュリティ上の問題が生じている可能性あり。
- 攻撃活動の報告は出ていないが、wp-google-mapsもXSS(格納型)が存在するとの指摘がある。
国内での被害報告
弊社ウェブサイトを表示すると詐欺サイトに転送されてしまう現象が本日20時半頃から確認されました。ご迷惑おかけした方には申し訳ありませんでした。現在は解消しております。原因はyuzo-related-postというプラグインでした。もし利用されてる方がいれば削除をおすすめします。
— 米村歩@日本一残業の少ないIT企業社長 (@yonemura2006) 2019年4月10日
WordlPressのyuzo-related-postプラグインの脆弱性を悪用されて詐欺サイトに誘導される事例が国内でもチラホラ。
— tike (@tiketiketikeke) 2019年4月11日
37.230.116\.105 (AS29182 (ISPsystem, cjsc)) に山ほどぶら下がっている .tk ドメインを経由して詐欺サイトに誘導されるようです。
またプッシュ通知が・・・やれやれ。 pic.twitter.com/XEP8fPwXVh
【WordPressウイルス】
— だいき@輸入で月利100万達成 (@daiki_738_s) 2019年4月12日
4月10日に発症した僕のブログ乗っ取られですが、あれから4度の乗っ取られ、5度のセキュリティ強化と原因追求でいろいろわかりました。
Yuzo Related Postsプラグインを入れたことがある人はまじで要注意です。
過去例の無い第一患者になりました。笑https://t.co/bSiCljJGGd
- Sucuriによれば、プラグインが利用されているかスキャン活動も観測されている模様。
- プラグインに内包されるJavaScriptファイルなどを探査する。
- 以下はYuzo Related Postsを対象としたもの。
https://[WordPress Site]/wp-content/plugins/yuzo-related-post/assets/js/admin.js
以下はプラグイン別に概要をまとめたもの。
(1)Easy WP SMTP
調査・報告
脆弱性の概要
- インポート、エクスポートの機能のアクセス制御に不備。
- 細工したファイルをアップロードし、認証無しにWordPressの設定を変更できる。
- 観測された攻撃は既定のロールを管理者にし、ユーザー登録機能を有効にするもの。
(2)Social Warface
調査・報告
- Full Disclosure of Settings Change/Persistent Cross-Site Scripting (XSS) Vulnerability in Social Warfare
- Another day, another zero-day: WordPress Social Sharing Plugin Social Warfare under attack.
- Zero-Day Stored XSS in Social Warfare
- Recent Social Warfare Vulnerability Allowed Remote Code Execution
脆弱性の概要
- プラグイン呼び出しの際、読込先のファイル(JSON)のURLを指定できる。
- 一部のパラメーターにエスケープ漏れがあり、XSSの脆弱性が存在する。
- 観測された攻撃例ではPastebinが利用されていた。
(3)Yuzo Related Posts
調査・報告
脆弱性の概要
- プラグインから呼び出される特定のパラメーターにエスケープ漏れが存在する。
- 送信されたデータはデータベースから消さない限り、永続的に残るもの。
- 脆弱性は
yuzo-related-postが含まれるURL。 - このプラグインは日本語記事でも紹介されている。
対策・復旧方法
wordpress.org
開発者が推奨する対策は以下の通り。
- 一刻も早いプラグインの削除、アンインストール
wp_optionsテーブルにあるyuzo_related_post_optionsのレコード削除wp_yuzoviewsはこの問題に影響しないため、削除しないように注意。- 改良バージョンは近々公開されると開発者は予告。
- 開発者は他のプラグインへの影響はないと説明している。
(4)Visual CSS Style Editor (Yellow Pencil)
調査・報告
[:embed:cite]
yellowpencil.waspthemes.com
脆弱性 検証コード
- 特定のパラメーターが指定されると管理者特権でWordPressを操作できる。
- これを利用してプラグイン呼び出しの際にWordPressの任意のオプションを指定が可能。
- 任意のユーザー登録を可能とするオプションを有効化することができる。
(参考)一部プラグインは有効化時情報送信
脆弱性と別話題だがプラグイン有効化の際に情報を送信している行為が確認されたとの指摘がある。
technote.space
- プラグインが改ざんされたのではなく、この元々備わっていたもの。
- Yuzo Related Postsでは以下箇所で管理者メールアドレス、サーバーIPに関連する情報(緯度経度等)を送信していた。
$r = get_userdata(1);$n = $r->data->display_name;$e = get_option( 'admin_email' );echo "<script>jQuery.ajax({url: 'http://ilentheme.com/realactivate.php?em=$e&na=$n&la=".$IF_MyGEO->latitude."&lo=".$IF_MyGEO->longitude."&pais_code=".$IF_MyGEO->countryCode."&pais=".$IF_MyGEO->countryName."®ion=".$IF_MyGEO->region."&ciudad=".$IF_MyGEO->city."&ip=".$IF_MyGEO->ip."&code=$code&type=$type',success: function (html) { null; } });</script>";
- コード中に記述があるが送信先は開発者Lenin Zapata氏のWebサイト。
- 経緯の説明がないが、リビジョン(2066877)で当該箇所は削除されていた。
- また他関連表示プラグイン「WordPress Related Posts」でも情報送信を行っていると指摘している。
(参考)脆弱性対応をめぐり衝突が起きていた
- 脆弱性の報告者(Plugin Vulnerabilities)とコミュニティ(
Wordpress.orgサポートフォーラム)で軋轢が発生。 - 2018年9月にあるプラグインの脆弱性情報の投稿をめぐってモデレータとトラブル。
- 問題発生後Plugin Vulnerabilityは開示ポリシーを公開。
- スパム行為などの問題行動が数年前から発生していたとサポートフォーラムモデレーターはコメント。
- Plugin VulnerabilitesはSucuri、Defiantが脆弱性対応の中で宣伝を行っており、フォーラムの規約に触れると批判。
- Plugin VulnerabilitiesはDefiantの解説記事に誤りがあると指摘。
- DefiantはPlugin Vulnerabilitiesの開示を無責任な行動と批判。
- Plugin Vulnerabilitiesは0dayを公開したとの指摘に対し、Yuzo Related Posts、Yellow Pencilは対応後に公開されたものと反論。
- Mediumでまとめられた記事をPlugin Vulnerabilitiesは不正確な事実に基づき記述されたものとコメント。
- Plugin Vulnerabilitiesは脆弱性について取り上げた技術系メディア(ZDnet、Bleeping Comupter、ArsTechnica)へも自身の記述に誤りがあると批判を行った。
更新履歴
- 2019年4月17日 AM 新規作成