新しいLinuxマルウェアがWordPressサイトの30以上のプラグインへのバックドアを悪用
最近の新しいLinuxマルウェアの出現は、ウェブマスターとWebサイト管理者の間で警戒の原因となっています。未知の悪意のあるコードは、30 を超えるプラグインを悪用して、WordPress サイトへのバックドア アクセスを取得します。サイバーセキュリティの専門家によると、このエクスプロイトは、データの盗難や操作から分散型サービス拒否 (DDoS) 攻撃に至るまで、ハッカーによって悪意のある活動に使用される可能性があります。
このマルウェアは、ほとんどのマルウェア対策ソリューションをバイパスする高度な回避機能を備えて設計されています。主に、脆弱なプラグインを実行している WordPress Web サイトや、最新のパッチをインストールしていない WordPress Web サイトをターゲットにしています。この未知のエクスプロイトは、認証ページが公開されている誤って構成された WordPress サイトもスキャンし、それらに対して総当たり攻撃を実行してこれらのシステムに侵入します。侵入すると、リモートの攻撃者がいつでも悪用できるバックドア アクセスの設定が進みます。
対象となるプラグインとテーマは次のとおりです。
- WPライブチャットサポートプラグイン
- WP GDPRコンプライアンスプラグイン
- WordPress – Yuzo 関連記事
- Yellow Pencil ビジュアル テーマ カスタマイザー プラグイン
- ハイブリッド
- イージーSMTP
- WP GDPRコンプライアンスプラグイン
- WordPress アクセス制御に関する新聞のテーマ (CVE-2016-10972)
- Thim Core
- ZotaboxによるFaceboorライブチャット
- Googleコードインサーター
- Total Donations プラグイン
- 投稿カスタムテンプレートライト
- WPクイックブッキングマネージャー
- 近日公開ページとメンテナンスモード
- ZotaboxによるFaceboorライブチャット
- ブログデザイナーWordPressプラグイン
- WordPress Ultimate に関するよくある質問 (CVE-2019-17232 および CVE-2019-17233)
- WP-Matomo統合(WP-Piwik)
- Visual Composer の WordPress ND ショートコード
- WPライブチャット
- 近日公開ページとメンテナンスモード
標的の Web サイトが、上記のプラグインのいずれかの古くて脆弱なバージョンを実行しているとします。その場合、マルウェアはコマンド アンド コントロール (C2) サーバーから悪意のある JavaScript を自動的に取得し、スクリプトを Web サイトに挿入します。
感染したページは攻撃者が選んだ場所へのリダイレクトとして機能するため、この方法は放棄されたサイトで最も効果的に機能します。
これらのリダイレクトは、フィッシング、マルウェアの配布、マルバタイジング キャンペーンで、検出やブロックを回避するのに役立つ可能性があります。とはいえ、自動注射器のオペレーターは、他のサイバー犯罪者にサービスを販売している可能性があります。
ペイロードの更新バージョンは、次のWordPressアドオンも対象としています。
- Brizy WordPress プラグイン
- FV Flowplayerビデオプレーヤー
- ウコマース
- WordPressの近日公開ページ
- WordPressテーマOneTone
- Simple Fields WordPress プラグイン
- FV Flowplayerビデオプレーヤー
- WordPress Delucks SEOプラグイン
- OpinionStageによる投票、調査、フォーム、クイズメーカー
- ソーシャルメトリクストラッカー
- リッチレビュープラグイン
- WPeMatico RSS フィード フェッチャー
- リッチレビュープラグイン
この脅威から身を守るには、WordPress Web サイトの管理者は、サイトで実行されているテーマとプラグインの利用可能な最新バージョンに更新し、開発されなくなったものをサポートされている代替手段に置き換える必要があります。
強力なパスワードを使用し、2 要素認証メカニズムを有効にすると、ブルート フォース攻撃から確実に保護できます。
