AMP for WPのプラグインにXSSの脆弱性!最新版へアップデートを

AMP for WP
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

日本でも利用者が多い「AMP for WP」にXSS(クロスサイトスクリプティング)に対する脆弱性が発見されました。
対応方法と原因、主な攻撃方法について解説しますので、インストール中の方は参考にしてすぐに対応してください。

対応方法について

「AMP for WP」プラグインの最新バージョン(執筆時点ではバージョン0.9.97.20)にアップデートしてください。

もし、サイトを確認してすでに不正なスクリプトが埋め込まれている場合は、こちらなどを参考に、不正なスクリプトを削除してください。ご自身でのサイト復旧が難しい場合には、セキュリティ対策の専門家に相談しましょう。

以下では、今回発見された脆弱性の情報について解説しています。
エンジニア向けの内容も含まれますので、ご了承ください。

XSS(クロスサイトスクリプティング)とは?

XSS(クロスサイトスクリプティング)とは、ユーザーのリクエストに応じてページの表示内容を生成する動的ページに対する攻撃方法のことです。動的ページが生成される際の処理に、特定の悪意あるスクリプトを埋め込み、ユーザー側でそのプログラムを実行させることが可能です。

具体的な被害としては、セッションハイジャックやフォームの入力情報の収集、悪意のあるサイトへの誘導などです。

参考:XSSとは?(外部サイトが開きます)

「AMP for WP」プラグインで発見された脆弱性

今回発見された脆弱性の要点は、AJAXフックにおける機能チェックの欠如です。
脆弱性の見つかったバージョンでは、ユーザーはユーザー権限に関係なくログインをしているだけで、プラグインの機能を呼び出すことができます。
そのため、管理者権限ユーザーでなくとも、何らかの権限を持つユーザーでログインするだけでハッキングを行うことが可能です。

不正なユーザーアカウントが作成される

この脆弱性を利用した攻撃として確認されたのは、ログイン中の管理者のセッションを利用して不正なユーザーアカウントが作成されるというもの。
攻撃者は下記のようなコードを埋め込みます。

AMP for WPを利用した不正なユーザーアカウント作成コード

上記のコードでは、管理者のブラウザセッションからprocessNewUser()機能を用いて、「supportuuser」という新しい管理者アカウントを登録しようとしています。
非表示のiframeを作成し、その中で新規ユーザーフォームを操作し、権限から管理者を選択して送信するという流れです。

別のプラグインに対するバックドアコードの挿入

また、別のプラグインに対するバックドアコードを挿入しようとします。
実際には下記のようなPHPバックドアが確認されています。

上記の不正なユーザーアカウントが削除されたとしても、こうしたバックドアがあることで、ハッカーは任意のPHPコードを実行することができます。

侵入の痕跡(IOC)

ハッカーによる攻撃の痕跡については、以下が指標となります。

一般的な攻撃者のIP

  1. 181.215.147.23
  2. 193.112.161.204
  3. 219.145.170.23
  4. 192.169.198.104
  5. 193.112.65.16
  6. 46.101.156.232
  7. 193.112.91.155
  8. 218.92.252.230
  9. 208.109.53.224
  10. 41.139.45.78

アクセスされた送信ドメイン

  • sslapis.com

攻撃者のユーザーエージェント

  • Mozilla / 5.0(Windows NT 6.1; Win64; x64; rv

データベースインジケーター

  • WordPressのデータベースのユーザーテーブルに不正なアカウントが存在する
  • option_nameフィールドに文字列ampを含む「AMP For WP」プラグインに関連付けられているwp_optionsエントリに、意図しないJavaScriptが存在する。

まとめ

今回の脆弱性の発見で、XSSの脆弱性対策が非常に重要であることが再確認されました。
ハッカーがサイトの管理者のブラウザで任意のJavaScriptを実行できる場合、そこから様々な方法でサイトに悪意のあるスクリプトを仕掛けられます。

最善の防衛策は、セキュリティ対策の基本でもあるプラグインを最新の状態に保つということです。
AMP for WP」プラグインを導入している方は、再度バージョンの確認を行いましょう。最新バージョンは2018年11月21日現在で「バージョン0.9.97.20」です。

もし、自分のサイトが攻撃を受けた可能性がある、何らかの理由でプラグインの更新ができない場合などは、「wp.support」を始めとしたWordPressのセキュリティ対策の専門家に相談しましょう。

参考元:Wordfence(元記事は英語です)

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

WordPressの最新情報を入手する

wp.makeでは、週1回WordPressの最新情報やおすすめプラグイン情報などをお届けするメルマガを発行しています。
セキュリティに関わる問題には緊急の号外でお知らせします。

WordPressサイト運用者はもちろん、制作会社の方にも役立つ情報をお伝えしていきますので、ぜひご登録ください!

登録は下記から空メールを送るだけでOK!
(info@wpmake.jpからのメールを受信出来るよう設定してください)


メルマガ登録はこちら