2020年9月1日頃より、WordPress 用プラグイン File Manager の脆弱性を悪用した攻撃に関する情報が公開されています。File Manager は、WordPress の管理画面上から、サーバ上のファイルのアップロードや削除などの操作を実行できるプラグインです。
WordPress
File Manager By mndpsingh287
https://wordpress.org/plugins/wp-file-manager/
この脆弱性が悪用されると、認証されていない遠隔の第三者が、悪意のあるファイルをアップロードし実行することで、脆弱性を持つプラグインがインストールされている WordPress サイト上で任意のコードを実行する可能性があります。本記事の発行時点で、当該脆弱性の CVE 番号は確認できていません。
当該脆弱性は、2020年9月1日に公開されたバージョン 6.9 で修正されています。脆弱性の影響を受けるバージョンのプラグインを使用している場合は、早急にバージョンアップ、あるいは不要な場合はアンインストールすることが推奨されます。また、サーバ上に既に意図しない PHP ファイルが設置されているなど、不審な挙動が確認されている場合は、当該脆弱性を悪用した攻撃を既に受けた可能性があるため、管理者パスワードの変更など、更なる対応の実施をご検討ください。
なお、意図しない PHP ファイルとして、/wp-content/plugins/wp-file-manager/lib/files ディレクトリ配下に、下記ファイルが設置されるケースが確認されています。
- hardfork.php
- hardfind.php
- x.php
Wordfence
700,000 WordPress Users Affected by Zero-Day Vulnerability in File Manager Plugin
https://www.wordfence.com/blog/2020/09/700000-wordpress-users-affected-by-zero-day-vulnerability-in-file-manager-plugin/
Seravo
Severe 0-day security vulnerability found by Seravo in WP File Manager
https://seravo.com/blog/0-day-vulnerability-in-wp-file-manager/
** 更新: 2020年9月14日 ********************************************
JPCERT/CCは、本脆弱性の悪用を試みる国内宛の通信が観測されていることを確認しています。
また、本脆弱性に関する実証 (PoC) コードも既に公開されていることから、修正バージョンへのアップデート等の対応を未実施の場合、早急に対応や侵害有無の確認を実施することを推奨します。なお、本脆弱性には CVE 番号 CVE-2020-25213 が採番されました。
** 更新終了 *********************************************************
** 更新: 2020年9月17日 ********************************************
JPCERT/CCでは本脆弱性を悪用した攻撃によるインシデント報告を国内企業から受けております。
対象製品を利用しており、本脆弱性への対策が済んでいない方は、早急な対応を推奨します。
本脆弱性への対策は、File Manager プラグインの無効化では対策が不十分であり、本脆弱性を悪用した攻撃を受ける可能性があります。 本脆弱性に対応するために File Manager プラグインのバージョンアップやアンインストールを確実に行ってください。
(本脆弱性を悪用した攻撃について)
本脆弱性は、connector.minimal.php に細工したリクエストを行うことで悪意のあるファイルをサイトに対して設置することが可能です。
connector.minimal.php に対するリクエストが行われていないことや /wp-content/plugins/wp-file-manager/lib/files ディレクトリ配下に不審なファイルが設置されていないか、あわせて確認することを推奨します。
[アクセスログの例]
[日時] “GET /wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1” 200
[日時] “POST /wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1” 200
[日時] “GET /wp-content/plugins/wp-file-manager/lib/files/任意のファイル名 HTTP/1.1” 200
** 更新終了 *********************************************************
改訂履歴
2020-09-03 初版
2020-09-14 追記 (CVE 番号、国内宛の通信の状況)
2020-09-17 追記(対策、攻撃について)
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp