WordPressプラグインの脆弱性：美しいクッキー同意バナーを狙った大規模攻撃

WordPressのセキュリティ会社Defiantは、40,000以上のアクティブインストールを持つ「Beautiful Cookie Consent Banner」というWordPressプラグインにおける未承認のストレージクロスサイトスクリプティング（XSS）脆弱性を狙った攻撃を観察しました。

まず、クロスサイトスクリプティングとは、攻撃者が信頼されたウェブサイトに悪意のあるスクリプトを注入するタイプのインジェクションです。XSS攻撃では、脅威アクターが異なるユーザーに対して、ブラウザ側のスクリプトとして悪意のあるコードを送信します。

その影響には、機密情報への未承認アクセス、セッションの奪取、悪意のあるリダイレクトによるマルウェア感染、さらには被害者のシステムの完全な侵害が含まれる可能性があります。

WordPressのセキュリティ会社Defiantによると、問題の脆弱性は、未パッチのプラグインバージョン（2.10.1を含む）を実行しているウェブサイトで、未承認の攻撃者が悪意のある管理者アカウントを作成できることを許可します。この活動で説明された脆弱性は、1月に新しいバージョンリリース（2.10.2）でパッチが当てられました。

読む: CISAがSamsungデバイスのセキュリティ欠陥を警告、Android ASLRバイパスを許可

脅威アナリストのRam Gallによると、この脆弱性は2023年2月5日以降に積極的に攻撃されており、これまでに見た中で最大の攻撃です。「私たちは5月23日以降、約14,000のIPアドレスから150万以上のウェブサイトに対して、300万近くの攻撃をブロックしました。攻撃は継続中です。」

この攻撃活動の大規模な性質にもかかわらず、Gallによると、脅威アクターは、脆弱なプラグインバージョンを実行しているWordPressサイトをターゲットにしても、ペイロードを展開しない可能性のある誤設定された脆弱性を使用しています。

それにもかかわらず、「Beautiful Cookie Consent Banner」プラグインを使用しているウェブサイトの管理者や所有者は、攻撃が失敗した場合にnsc_bar_bannersettings_jsonオプションに保存されたプラグイン設定が破損する可能性があるため、プラグインを最新バージョンに更新することをお勧めします。

また、パッチが当てられたプラグインバージョンは、ウェブサイトが標的にされた場合に自ら修復するように更新されています。

最近の攻撃の波は悪意のあるペイロードを注入できないかもしれませんが、この活動の背後にいる脅威アクターはこれらの問題を修正し、依然として露出しているものを感染させる可能性があります。

読む: 脅威アクターがMicrosoft Azureを悪用して仮想マシンにアクセス