セキュリティ 2019.10.24 2023.07.26

緊急!WP GDPR Complianceに脆弱性|今すぐ更新か削除を!

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社e2e 取締役 / CTO

1985年北海道生まれ。
200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポートしている。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

人気プラグイン『WP GDPR Compliance』の1.4.2までのバージョンに複数の重大な脆弱性が発見されました。
現在、これらの脆弱性に対応したバージョン1.4.3がリリースされています。

同プラグインは欧州で施行されたGDPRに対応するためのプラグインで、10万サイト以上にインストールされており、欧州に顧客を持つWebサイトやECサイトを中心に使用されています。

脆弱性の概要としては、認証を受けていない攻撃者が、新規ユーザーの登録と権限昇格を行うことが出来るというもの。管理者権限を持つユーザーを自由に作成することが出来るので、この脆弱性を足がかりに感染はサイト全体に及ぶ可能性があります。

すでに海外では被害報告も上がっており、今後始まるであろうゼロデイ攻撃を避けるためにも、このプラグインを使用している人はすぐに最新バージョンへの更新を行ってください。
更新が難しい場合は、プラグインを非アクティブにして削除してください。

脆弱性の内容

今回の『WP GDPR Compliance』の脆弱性は大きく二つの項目に分かれます。

任意のオプションの値を保存できる

プラグインはWordPressのadmin-ajax.php機能を介してデータアクセス要求や削除要求といったいくつかのアクションを処理しており、『WP GDPR Compliance』でも使用されています。この中にWordPress管理画面のダッシュボードからプラグインの設定を変更する機能も含まれています。
ただ、save_setting等のなどの構成変更を伴う内部アクションを実行する際に機能チェックは行われず、任意のオプションと値がそのままデータベースのオプションテーブルに格納されます。

任意のオプションを呼び出し実行できる

上記のオプション値の格納に加え、do_action()によって、与えられたオプション名と値を使用して呼び出しを実行することができます。つまり、攻撃者は任意のWordPressのフックを使用することができるわけですね。

これら2つの脆弱性を組み合わせることで、以下のように、新たなユーザーの作成とそのユーザーへの管理者権限の付与を容易に行うことができるようになっています。

  1. user_can_registerのオプションを1に設定
  2. default_roleの設定で新しいユーザーの権限を「管理者」に変更
  3. フォームから/wp-login.php?action=registerで特権アカウントにアクセス

管理者権限を持つユーザーとしてアクセスされてしまえば、あとは自由にマルウェアを埋め込むことが出来るため、非常に危険です。

被害状況

現在、すでに海外では被害報告が上がっており、「t2trollherten」といった管理者権限を持つ悪意のあるユーザーアカウントが確認されています。

私は犠牲者です。私は3つのサイトでプラグインを実行していましたが、今朝更新しましたが、いずれかのサイトでは遅すぎました。私はすでにt2trollhertenとt3trollhertenの名前で2つの新しい管理者ユーザーアカウントを追加しました。

私は今朝自分のサイトにその名前の新しい管理者アカウントが2つ見つかりました。私はそれらを削除し、すべての私のパスワードを変更しました。私はgdprのクッキー同意のためのプラグインも更新しました。

※内容を翻訳しています。
参考リンク:Wordfence

もし、このプラグインをインストールしている方は、今すぐ管理画面からユーザー一覧を確認し、登録した覚えのないユーザーアカウントがないか確認しましょう。もしそれらが存在した場合は、すぐにユーザーの削除とあなたの管理者ユーザーのパスワードを変更し、プラグインを更新しましょう。

結論

今回の脆弱性は非常に重大な問題ですので、すぐにプラグインを更新されることをお勧めします。

Wordfence等のセキュリティプラグインでは、自動でこれらに対応するファイアウォールをリリースしているようですが、無料版の場合は30日遅れての適用となるようです。
セキュリティプラグインを入れているから大丈夫と油断することなく、自分の手で最新版にアップデートしましょう。

もし、この脆弱性によってすでにアタックを受けている、アタックを受けた疑いがあるという方は、すぐに対処する必要があります。
ご自身での対処が難しい場合は、私たち『wp.make』までご連絡ください。
サイトのアタック状況の診断から正常な状態への復旧まで、サポートいたします。

WordPress保守・運用のパートナーなら「wp.support」にお任せ!

WordPressサイトを運用していて、以下のようなお悩みはありませんか?

  • 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
  • サイトのUI/UXを改善したいけれど、自社内では難しい…
  • WordPressサイトを高速化したいけれど、ノウハウがない…
  • セキュリティ対策をしたいけれど、知識のある人材がいない…
  • 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
  • ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する

バージョンアップが面倒だと思ったら WordPress保守・セキュリティ対策は『wp.support』にお任せ!

wp.support資料

WordPressのバージョンアップやセキュリティ対策にお悩みではないですか?

面倒な保守・運用作業は全て任せて、コア事業に集中してください。
大手・上場企業100社以上のWebサイトの安全を守る、WordPressのプロフェッショナル集団が、あなたのWordPressサイトを守ります!

【対応範囲】
・WordPress、プラグインのバージョンアップ ・セキュリティ対策 ・継続的なバックアップ ・緊急時の復旧対応 ・技術サポート・電話/メールサポート無制限 etc...

WordPressに関することなら何でもご相談ください!

もっと詳しく