フィンランドのセキュリティリサーチャー Jouko Pynnonen氏は、2015年4月26日(現地時間)、人気の CMS「WordPress」に深刻な脆弱性が存在し、この脆弱性により、何百万もの Webサイトが攻撃の危険にさらされていることを報告しました。この脆弱性が利用されると、攻撃者は Webサイトの管理者のブラウザ画面上で JavaScript のコードを実行し、管理者権限を利用してさらなる不正活動を実行することができます。また、サーバを制御下に置くことも可能です。WordPress は、「重大なセキュリティリリース」として「WordPress 4.2.1」を公開し、すべてのユーザに最新バージョンに更新するよう促しました。
攻撃者は、この脆弱性を利用して、コメントやフォーラム、ディスカッションを通じて、「クロスサイトスクリプティング(XSS)」を実行することが可能になります。この手法は、XSS でも「蓄積型XSS」と呼ばれるもので、Web サイトが蓄積しているコンテンツ中にスクリプトを紛れ込ませる、最も危険な種類の攻撃手法です。この攻撃は、WordPress で作成されたブログや Webサイト上のコメント欄に、HTML もしくは JavaScript のコードと 64キロバイトのテキストを追加することで実行されます。このコードは、その後 WordPress のデータベースに保存されます。Webサイトの管理者が、コメントを確認するためにポータルサイトにアクセスすると、スクリプトが実行されます。
この不正なスクリプトは、その後、バックドア活動を実行するシェルスクリプトで記述されたファイルをサーバにアップロードしたり、管理者権限を利用して他のユーザを追加するなど、さまざまな不正活動を行います。これにより、攻撃者は、このアップロードしたシェルのファイルを利用してサーバにアクセスしたり、管理者権限により追加された新規のユーザを利用してログインできます。こうしたことはすべて、管理者の承認や認識なしに裏で実行されます。
■トレンドマイクロの対策
この脆弱性を修正するために、弊社ではWebサイトの管理者は WordPress を最新バージョン「WordPress 4.2.1」に更新することを推奨します。最新バージョンは WordPress のブログやダッシュボードからダウンロードできます。
また、弊社のサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、以下のフィルタを適用することにより、今回の脆弱性を利用した XSS の攻撃を防ぐことができます。また、フィルタ適用後は、サーバが攻撃されていないか今一度確認すると良いでしょう。
- 1000552 – Generic Cross Site Scripting(XSS) Prevention
参考記事:
- 「WordPress Vulnerability Puts Millions of Sites at Risk; Trend Micro Solutions Available」
by Jaydeep Dave (Vulnerability Research)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)