Aikido

WordPress コアにおける認証不要のRCE(wp2shell)、SQLインジェクションを介して

執筆者
Dania Durnas

SQLインジェクションの脅威は依然として存在しています。 7月17日、WordPressは緊急のセキュリティアップデートをリリースしました。バージョン7.0.2では、WordPressコアに存在する認証不要のリモートコード実行の脆弱性が修正されています。この脆弱性により、匿名の攻撃者がプラグインを一切使用していないデフォルトのインストール環境に対して攻撃を仕掛けることが可能です。お使いのサイトが影響を受けるバージョンを実行している場合は、今すぐアップデートを行ってください。この脆弱性の深刻さを踏まえ、WordPress.orgでは影響を受けるサイトに対して強制的な自動更新を有効にしています。弊社では、 Aikido 脆弱性 追跡しています。

Searchlight Cyberのアダム・クース氏がこの脆弱性を報告し、 wp2shell.com にチェッカーを公開しました これにより、自分のサイトが攻撃にさらされているかどうかを確認できます(ただし、このサイトは時折オフラインになっています)。WordPressコアの公式アドバイザリによると、これはRESTAPI 混同とSQLインジェクションの問題であり、これが連鎖してリモートコード実行につながるもので、バッチエンドポイントは /wp-json/batch/v1 を攻撃の入り口として利用します。Searchlight社の推計によると、5億以上のサイトがWordPressを利用しているため、攻撃の対象となる規模は膨大です。

正しいバージョンを使用することが最優先です。もし Aikido Zenを実行している場合、その組み込みファイアウォールは、この脆弱性が利用するSQLインジェクションをブロックするように設計されているため、パッチが適用されていないサイトでも、更新が展開されるまでの間、実行時の防御機能が維持されます。

影響を受けるバージョン

このリモートコード実行の脆弱性の影響を受けるのは、以下の通りです:

  • WordPress 6.9.0 から 6.9.4 まで。6.9.5 で修正済み。
  • WordPress 7.0.0 から 7.0.1 まで。7.0.2 で修正済み。
  • WordPress 7.1 ベータ版、7.1 ベータ2で修正済み

6.9.0より前のバージョンでは、このRCEの脆弱性の影響を受けません。WordPress 6.8には、今回の修正パッチで修正された別のSQLインジェクションの脆弱性があるため、6.8を使用しているサイトは6.8.6へアップデートする必要があります。6.8より前のバージョンは、いずれの脆弱性の影響も受けません。

これからどうすればいいでしょうか

今すぐWordPressをアップデートしてください。7.0.2には修正が適用されています。6.9ブランチをご利用の場合は、6.9.5にアップデートしてください。バックグラウンド更新が有効になっているほとんどのサイトでは自動的に更新されますが、勝手に決めつけずに、ダッシュボードでバージョンを確認することをお勧めします。

すぐに更新できない場合は、この情報開示文書にいくつかの暫定的な対策が記載されています。RESTAPI への認証されていないアクセスをブロックするプラグインをインストールしたり、両方のパスをブロックしたりすることができます。 /wp-json/batch/v1 およびクエリパラメータ rest_route=/batch/v1 WAFで対応するか、RESTバッチルートで認証を必要とする小さな必須プラグインを追加してください。いずれも正当なRESTAPI に支障をきたす可能性があるため、パッチを適用するまでの暫定的な対策として扱ってください。

この脆弱性は、オープンソース・エコシステム全体で新たに発見された脆弱性やマルウェアをリアルタイムで通知する当社のフィード「Aikido 」で追跡されています。

以下の機能による実行時保護 Aikido Zen

これは、1回のWordPressコアリリースにおいて2件目となるSQLインジェクションの問題です。開発者たちは長年にわたり、SQLインジェクションは解決済みの問題だと主張してきましたが、依然としてこの問題は私たちを悩ませ続けています。コアソフトウェアや依存関係において、修正が行われる前に匿名ユーザーがアクセスできてしまうケースが後を絶ちません。

Aikido Zen は、アプリケーション内部で動作し、データベースへ送信されるユーザー入力を検査する組み込み型ファイアウォールです。実行時にSQLインジェクション、コマンドインジェクション、パストラバーサルをブロックし、わずか数行のコードで導入できます。Zen 、リクエストの実行中に、攻撃者が制御する入力によって引き起こされるSQLインジェクションといった攻撃を検知するようにZen 。 ゼロデイ攻撃が発生した直後にパッチを適用できないチームにとって、この実行時レイヤーが防御ラインを維持し、独自のスケジュールで修正プログラムを展開する時間を確保します。

まずはパッチを適用してください。Zenを実行して、次回の認証なしインジェクションがどこかで阻止されるようにしてください。

以下のツールを使用して脆弱性を追跡する Aikido Intel

この脆弱性は、同じリリースで修正された他のWordPressコアの不具合とともに、「Aikido で追跡されています 。Intelは、WordPressを含むオープンソースエコシステム全体で公開される新しいリリースをリアルタイムで読み取り、一般のCVEデータベースに反映されるより前に、多くの場合数分以内に脆弱性やマルウェアを特定・公表するリアルタイムフィードです。

すでにIntelをご利用の場合は、WordPressに関するアドバイザリがフィードに配信されていますので、このアドバイザリや今後配信される情報を、複数の情報源を個別に確認することなく追跡できます。このフィードはintel.aikido.dev で公開されており、無料で閲覧可能です。また、オープンソースライセンスの下で提供されているほか、データを独自のツールに取りAPI 商用API を通じて利用することもできます。

共有:

https://www.aikido.dev/blog/unauthenticated-rce-in-wordpress-wp2shell

マルウェアの検査

無料で始める
4.7/5
誤検知にうんざりしていませんか?
10万人以上のユーザーと同様に Aikido をお試しください。
今すぐ始める
パーソナライズされたウォークスルーを受ける

10万以上のチームに信頼されています

今すぐ予約
アプリをスキャンして IDORs と実際の攻撃パスを検出します

10万以上のチームに信頼されています

スキャンを開始
AI がどのようにアプリをペンテストするかをご覧ください

10万以上のチームに信頼されています

テストを開始

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

クレジットカードは不要です。 | スキャン結果は32秒で表示されます。