WordPress サイトの 30 以上のプラグインを悪用する新しい Linux マルウェアがバックドアを悪用
最近、新しいLinuxマルウェアが出現し、ウェブマスターやウェブサイト管理者の間で懸念が高まっています。この未知の悪意のあるコードは、30以上のプラグインを悪用してWordPressサイトへのバックドアアクセスを取得します。サイバーセキュリティの専門家によると、このエクスプロイトは、データ窃盗や改ざんから分散型サービス拒否(DDoS)攻撃まで、ハッカーが悪意のある活動に使用される可能性があります。
マルウェアは、ほとんどのアンチマルウェアソリューションを回避するために、洗練された回避機能を備えて設計されています。主に、脆弱なプラグインを実行している、または最新のパッチをインストールしていないWordPressウェブサイトを標的としています。この未知のエクスプロイトは、認証ページが公開されている設定ミスのあるWordPressサイトをスキャンし、それらに対してブルートフォース攻撃を実行してシステムへの侵入を試みます。侵入後、リモート攻撃者がいつでも悪用できるバックドアアクセスをセットアップします。
対象となるプラグインとテーマは以下の通りです:
- WP Live Chat Support Plugin
- WP GDPR準拠プラグイン
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- ハイブリッド
- Easysmtp
- WP GDPR準拠プラグイン
- WordPressアクセス制御(CVE-2016-10972)の新聞テーマ
- Thim Core
- ZotaboxによるFacebookライブチャット
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Coming Soon Page and Maintenance Mode
- ZotaboxによるFacebookライブチャット
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (CVE-2019-17232 および CVE-2019-17233)
- WP-Matomo連携 (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
ターゲットのウェブサイトが上記プラグインのいずれかの古い脆弱性のあるバージョンを実行していると仮定します。その場合、マルウェアはコマンド&コントロール(C2)サーバーから悪意のあるJavaScriptを自動的に取得し、そのスクリプトをウェブサイトに注入します。
感染したページは攻撃者が選択した場所にリダイレクトするため、攻撃は放棄されたサイトで最も効果的に機能します。
これらのリダイレクトは、検出とブロックを回避するために、フィッシング、マルウェア配布、および悪意のある広告キャンペーンに役立つ可能性があります。とはいえ、自動インジェクターのオペレーターは、他のサイバー犯罪者にサービスを販売している可能性があります。
ペイロードの更新バージョンは、以下のWordPressアドオンも対象としています:
- Brizy WordPress プラグイン
- FV Flowplayer ビデオプレーヤー
- WooCommerce
- WordPress 来場者ページ
- WordPressテーマOneTone
- Simple Fields WordPress Plugin
- FV Flowplayer ビデオプレーヤー
- WordPress Delucks SEOプラグイン
- OpinionStage による投票、アンケート、フォーム、クイズメーカー
- ソーシャルメトリクストラッカー
- Rich Reviews プラグイン
- WPeMatico RSS フィードフェッチャー
- Rich Reviews プラグイン
この脅威から防御するには、WordPressサイトの管理者は、サイトで実行されているテーマとプラグインを最新バージョンに更新し、開発が終了したものはサポートされている代替品に置き換える必要があります。
強力なパスワードを使用し、二要素認証メカニズムを有効にすることで、ブルートフォース攻撃から保護されるはずです。
