piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

WordPressプラグインを狙う攻撃が活発化している件をまとめてみた

「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。

3月以降脆弱性が確認されたプラグイン

2019年3月以降、脆弱性の悪用が報告されたプラグインは次のもの。

No 報告日 対象のプラグイン インストール数 バージョン 脆弱性
1 2019/03/15 Easy WP SMTP 40万件超 1.3.9以前 管理者への特権昇格
2 2019/03/21 Social Warfare 6万件超 3.5.2以前 XSS(格納型)、任意コードの実行
3 2019/03/30 Yuzo Related Posts 6万件超 5.12.91以前 XSS(格納型)
4 2019/04/09 Visual CSS Style Editor 3万件超 7.1.9以前 管理者への特権昇格
  • 全て脆弱性検証コード公開と攻撃活動観測あり。
  • 報告に上がっているのは詐欺サイトへの誘導。以下はセキュリティ企業が報告しているもの。
setforspecialdomain[.]com
somelandingpage[.]com
getmyfreetraffic[.]com
hellofromhony[.]org
pastebin.com/raw/0yJzqbYf
pastebin.com/raw/PcfntxEs
185.212.131.45
185.212.128.22
185.212.131.46
86.109.170.200
176.123.9.52
  • Defiantは脆弱性を悪用する活動は同一のグループによるものと推定。
  • Yuzo Related PostsとYellow PencilはWordpress.orgで4/16時点で非公開状態。
  • Wordpress.orgで非公開化されたものはセキュリティ上の問題が生じている可能性あり。

f:id:piyokango:20190417164643p:plain
公開停止中のYuzo Related Posts

国内での被害報告



  • Sucuriによれば、プラグインが利用されているかスキャン活動も観測されている模様。
  • プラグインに内包されるJavaScriptファイルなどを探査する。
  • 以下はYuzo Related Postsを対象としたもの。
https://[WordPress Site]/wp-content/plugins/yuzo-related-post/assets/js/admin.js

f:id:piyokango:20190417131609p:plain
JPドメインでも確認した例

以下はプラグイン別に概要をまとめたもの。

(1)Easy WP SMTP

脆弱性の概要
  • インポート、エクスポートの機能のアクセス制御に不備。
  • 細工したファイルをアップロードし、認証無しにWordPressの設定を変更できる。
  • 観測された攻撃は既定のロールを管理者にし、ユーザー登録機能を有効にするもの。

(2)Social Warface

脆弱性の概要
  • プラグイン呼び出しの際、読込先のファイル(JSON)のURLを指定できる。
  • 一部のパラメーターにエスケープ漏れがあり、XSSの脆弱性が存在する。
  • 観測された攻撃例ではPastebinが利用されていた。

(3)Yuzo Related Posts

脆弱性の概要
  • プラグインから呼び出される特定のパラメーターにエスケープ漏れが存在する。
  • 送信されたデータはデータベースから消さない限り、永続的に残るもの。
  • 脆弱性はyuzo-related-postが含まれるURL。
  • このプラグインは日本語記事でも紹介されている。
対策・復旧方法

wordpress.org
開発者が推奨する対策は以下の通り。

  • 一刻も早いプラグインの削除、アンインストール
  • wp_optionsテーブルにあるyuzo_related_post_optionsのレコード削除
  • wp_yuzoviewsはこの問題に影響しないため、削除しないように注意。
  • 改良バージョンは近々公開されると開発者は予告。
  • 開発者は他のプラグインへの影響はないと説明している。

f:id:piyokango:20190417131549p:plain

(4)Visual CSS Style Editor (Yellow Pencil)

脆弱性 検証コード
  • 特定のパラメーターが指定されると管理者特権でWordPressを操作できる。
  • これを利用してプラグイン呼び出しの際にWordPressの任意のオプションを指定が可能。
  • 任意のユーザー登録を可能とするオプションを有効化することができる。

(参考)一部プラグインは有効化時情報送信

脆弱性と別話題だがプラグイン有効化の際に情報を送信している行為が確認されたとの指摘がある。
technote.space

  • プラグインが改ざんされたのではなく、この元々備わっていたもの。
  • Yuzo Related Postsでは以下箇所で管理者メールアドレス、サーバーIPに関連する情報(緯度経度等)を送信していた。
$r = get_userdata(1);$n = $r->data->display_name;$e = get_option( 'admin_email' );echo "<script>jQuery.ajax({url: 'http://ilentheme.com/realactivate.php?em=$e&na=$n&la=".$IF_MyGEO->latitude."&lo=".$IF_MyGEO->longitude."&pais_code=".$IF_MyGEO->countryCode."&pais=".$IF_MyGEO->countryName."&region=".$IF_MyGEO->region."&ciudad=".$IF_MyGEO->city."&ip=".$IF_MyGEO->ip."&code=$code&type=$type',success: function (html) { null; } });</script>";

http://ilentheme.com/realactivate.php

  • また他関連表示プラグイン「WordPress Related Posts」でも情報送信を行っていると指摘している。

technote.space

(参考)脆弱性対応をめぐり衝突が起きていた

f:id:piyokango:20190417164236p:plain

更新履歴

  • 2019年4月17日 AM 新規作成