ビデオ: YouTube- ç»æ²™HuaSha - Jay Chou & Cindy Yen å¨æ°ä¼¦ è¢è© ç³.mp4 (十一月 2024)
WordPressサイトを所有している場合は、コアプラットフォームだけでなく、すべてのテーマとプラグインについても、常に最新情報を把握してください。
WordPressは世界中の7000万以上のWebサイトを運営しており、サイバー犯罪者にとって魅力的なターゲットとなっています。 攻撃者は頻繁に脆弱なWordPressインストールをハイジャックして、スパムページやその他の悪意のあるコンテンツをホストします。
研究者たちは、ここ数週間でこれらの人気のあるWordPressプラグインに重大な脆弱性を発見しました。 管理者ダッシュボードをチェックして、最新バージョンがインストールされていることを確認してください。
1. MailPoet v2.6.7が利用可能
Webセキュリティ会社Sucuriの研究者は、WordPressユーザーがニュースレターを作成し、通知を投稿し、自動応答を作成できるプラグインであるMailPoetにリモートファイルアップロードの欠陥を発見しました。 以前はwysija-newslettersとして知られていたプラグインは、170万回以上ダウンロードされています。 開発者はバージョン2.6.7の欠陥にパッチを当てました。 以前のバージョンはすべて脆弱です。
Sucuriの最高技術責任者であるDaniel Cidは、火曜日のブログ投稿で、「このバグは真剣に受け止めなければなりません。これにより、潜在的な侵入者が被害者のWebサイトでやりたいことを実行できるようになります。 「任意のPHPファイルをアップロードできます。これにより、攻撃者はWebサイトを使用して、フィッシングルアー、SPAMの送信、マルウェアのホスト、他の顧客への感染(共有サーバー上)などを行うことができます!」
この脆弱性は、ファイルをアップロードする特定の呼び出しを行うのは管理者であり、実際にユーザーが認証されていることを確認せずにいると想定した、とSucuriは発見しました。 「犯すのは簡単な間違いです」とシドは語った。
2.利用可能なTimThumb v2.8.14
先週、研究者は、ユーザーが画像のトリミング、ズーム、サイズ変更を自動的に行えるプラグインであるTimThumb v2.8.13の深刻な脆弱性の詳細をリリースしました。 TimThumbの開発者であるBen Gillbanksは、バージョン2.8.14の欠陥を修正しました。このバージョンは現在、Google Codeで入手可能です。
この脆弱性は、TimThumbのWebShot機能にあり、攻撃者(認証なし)がリモートでページを削除し、脆弱なサイトに悪意のあるコードを挿入することによりコンテンツを変更することを許可しました。 WebShotを使用すると、ユーザーはリモートWebページを取得して、スクリーンショットに変換できます。
「簡単なコマンドで、攻撃者はサーバー上のファイルを作成、削除、変更できます」とCidは書いています。
WebShotはデフォルトでは有効になっていないため、ほとんどのTimThumbユーザーは影響を受けません。 ただし、WordPressのテーマ、プラグイン、およびその他のサードパーティコンポーネントがTimThumbを使用しているため、リモートコード実行攻撃のリスクは残ります。 実際、完全開示リストの欠陥を明らかにした研究者の森本ピチャヤ氏は、WordThumb 1.07、WordPress Gallery Plugin、IGIT Posts Slider Widget、およびthemify.meサイトのテーマは脆弱である可能性があると述べました。
WebShotを有効にしている場合は、テーマまたはプラグインのtimthumbファイルを開いてWEBSHOT_ENABLEDの値をfalseに設定することで無効にする必要があります。Sucuriが推奨します。
実際、TimThumbをまだ使用している場合は、段階的に廃止することを検討してください。 Incapsulaによる最近の分析では、WordPressサイトに対するすべてのリモートファイルインクルージョン攻撃の58%がTimThumbに関係していることがわかりました。 Gillbanksは2011年以来(ゼロデイを修正するため)TimThumbを維持していません。コアWordPressプラットフォームが投稿サムネイルをサポートするようになったためです。
「2011年の以前のTimThumbセキュリティエクスプロイトの前から、WordPressテーマでTimThumbを使用したことはありません」とGillbanks氏は述べています。
3. All in One SEO Pack v2.1.6が利用可能
6月初旬、Sucuriの研究者は、All in ONE SEO Packの特権昇格の脆弱性を明らかにしました。 このプラグインは、WordPressサイトを検索エンジン向けに最適化します。この脆弱性により、ユーザーは管理者権限がなくてもタイトル、説明、メタタグを変更できます。 このバグは、サイトのページに悪意のあるJavaScriptコードを挿入し、「管理者のアカウントパスワードを変更してWebisteのファイルにバックドアを残すなどのこと」を行う2番目の特権エスカレーション欠陥(修正済み)と連鎖する可能性があります。
いくつかの推定によると、約1500万のWordPressサイトがAll in One SEO Packを使用しています。 プラグインを管理する会社のSemper Fiは、先月2.1.6で修正を発表しました。
4. Login Rebuilder v1.2.3が利用可能
先週のUS-CERT Cyber Security Bulletinには、WordPressプラグインに影響を与える2つの脆弱性が含まれていました。 1つ目はLogin Rebuilderプラグインのクロスサイトリクエストフォージェリの欠陥で、これにより攻撃者は任意のユーザーの認証をハイジャックできます。 基本的に、ユーザーがWordPressサイトにログインしている間に悪意のあるページを表示した場合、攻撃者はセッションを乗っ取ることができます。 National Vulnerability Databaseによると、認証を必要としない攻撃により、情報の不正開示、サイトの改ざん、中断が発生する可能性があります。
バージョン1.2.0以前は脆弱です。 Developer 12netは先週、新しいバージョン1.2.3をリリースしました。
5. JW Player v2.1.4が利用可能
US-CERT速報に含まれる2番目の問題は、JW Playerプラグインのクロスサイトリクエストフォージェリの脆弱性です。 このプラグインを使用すると、ユーザーはFlashおよびHTML5のオーディオクリップとビデオクリップ、およびYouTubeセッションをWordPressサイトに埋め込むことができます。 攻撃者は、悪意のあるサイトにアクセスするようにだまされた管理者の認証をリモートでハイジャックし、サイトからビデオプレーヤーを削除することができます。
バージョン2.1.3以前は脆弱です。 開発者は先週、バージョン2.1.4の欠陥を修正しました。
定期的な更新は重要です
昨年、Checkmarxは、WordPressで最もダウンロードされた50のプラグインと上位10のeコマースプラグインを分析し、プラグインの20%でSQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリなどの一般的なセキュリティ問題を発見しました。
Sucuriは先週、「数千」のWordPressサイトがハッキングされ、サーバー上のwp-includesコアディレクトリにスパムページが追加されたことを警告しました。 「スパムページはwp-includes内のランダムディレクトリ内に隠されています」とCidは警告しました。 ページは、たとえば、/ wp-includes / finance / paydayloanにあります。
Sucuriにはこれらのサイトがどのように侵害されたかについての「決定的な証拠」はありませんでしたが、「ほとんどすべての場合、Webサイトは古いWordPressインストールまたはcPanelを実行しています」とCidは書いています。
WordPressには、プラグインとコアファイルの更新プロセスが非常に簡単です。 サイト所有者は、すべてのアップデートのアップデートを定期的に確認してインストールする必要があります。 また、wp-includesなどのすべてのディレクトリを調べて、不明なファイルが常駐していないことを確認する価値があります。
「ウェブサイトの所有者が望んでいる最後のことは、彼らのブランドとシステムリソースが悪意のある行為に使用されていることを後で知ることです」とCidは言いました。
