2017-12-20 セキュリティニュースまとめ
WordPress の人気プラグイン、所有者の変更後バックドアが仕込まれる 30 万以上のサイトに影響
概要
項目 | 内容 |
---|---|
影響を受けたプラグイン名 | Captcha |
影響を受けるバージョン | 4.3.7 ~ 4.4.4*1 |
修正されたバージョン | 4.4.5 とそれ以降 |
同プラグインをインストールした場合の影響 | User ID 1 (WordPress の初回インストール時に作成されるデフォルトの admin ユーザー) の権限で、不正に認証クッキーが生成される。以降、認証なしで admin 権限での感染サイトへのアクセスが許可される |
最初にバックドア入りのプラグインがリポジトリに登録された日時 | 2017-12-06 07:36 UTC*2 |
バックドア入りプラグインの最初のコミット ID | 1781794 |
バックドアによる影響を受けたサイト数 | 30万サイト以上*3 |
WordPress による対応 | 修正バージョンへの強制アップデート |
影響を受けたサイトのうち強制アップデートによりプラグインが更新されたサイト数 | 10万サイト以上*4 |
WordPress による対策 | Captcha の新所有者側の開発者 wpdevmgr2678 がコミットする際は WordPress 社による公開前のレビューを必須とする |
simplywordpress[.]net ドメイン上に存在し、他にバックドアが仕込まれていることが判明した同所有者の WordPress プラグイン
- Covert me Popup
- Death To Comments
- Human Captcha
- Smart Recaptcha
- Social Exchange
経緯
日時(UTC) | 概要 |
---|---|
2017-09-05 またはそれ以前 | BestWebSoft 社、自社の保有する人気プラグイン Captcha の無料バージョンを Simply Wordpress 社に売却 |
2017-12-06 07:36 | リポジトリへのバックドア入りプラグインが最初にコミットされる |
? | WordPress の商標がプラグイン内でガイドラインにそって使用されていないとして同プラグインがリポジトリから取り下げられる |
? | Wordfence 社、人気プラグインの取り下げを受けセキュリティへの影響について調査開始。PHP の解析からバックドアの存在が判明。PHP をダウンロードするドメインを逆引き Whois して同じ人物の名で登録されているドメインについて調査した結果、過去の同社の調査で判明した SEO 詐欺ドメインとの関連が浮上。無料版 Captcha を買収した人物が過去にも同様のプラグイン買収を行っており Captcha 以外のプラグインにも同様の問題があることが判明。本件についてもバックドアに感染したサイトから自社の所有するドメインへのバックリンクを生成することで、Google などの検索エンジンでのそれらドメインのページランクを上げることを目的としていると推測 |
2017-12-08 | Wordfence、自社顧客のために WAF 用のルールを 2 つ作成 |
2017-12-12 | WordPress のリポジトリに Captcha の新所有者側の開発者 wpdevmgr2678 の名前で 4.4.5 がコミット(コミット ID 1785569)される |
2017-12-14 | Wordfence、自社顧客のために WAF 用のルールを 1 つ追加 |