Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

早急に「WordPress 4.7.2」へ更新を - 攻撃容易、改ざん被害も

WordPressにおいて、認証を必要とせずに外部より改ざんが可能となる深刻な「コンテンツインジェクション」の脆弱性が明らかになった問題で、すでに改ざん被害が確認されており、セキュリティ機関などが早急にアップデートを実施するよう注意を呼びかけている。

20170206_ip_001.jpg
脆弱性を悪用する際の流れ(図:IPA)

注意喚起が行われている脆弱性は、コンテンツマネジメントシステム(CMS)である「WordPress 4.7」にてデフォルトで有効化された「REST API」の処理に関する脆弱性。

認証を行うことなく、外部よりコンテンツを改ざんすることが可能となる。

開発グループでは、1月26日に脆弱性を解消したセキュリティアップデート「同4.7.2」をリリースしたが、公開当時は同脆弱性の修正について明かされていなかった。

2月1日に同脆弱性の詳細をSucuriが公表。続いて翌2日に公表に至った経緯を開発者が明らかにし、深刻な脆弱性であることから、自動更新などが適用される期間を配慮した上で、情報開示を1週間延期したと説明している。

すでに脆弱性の実証コードが流通しており、セキュリティ機関や研究者より容易に脆弱性を悪用することが可能であるとして注意喚起を実施。

JPCERTコーディネーションセンターによれば、対象となるバージョンを利用する国内サイトが複数被害に遭っており、今回の脆弱性を悪用した事例も確認されている。

またWordPressを導入している利用者を抱えるホスティング事業者も注意喚起を開始。一部事業者によると、2月4日夜半より同脆弱性を悪用したと見られる改ざん被害が多数報告されているという。

(Security NEXT - 2017/02/06 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Cisco、アドバイザリ6件を公開 - 「Firepower 」などの脆弱性を修正
「Ivanti」の5製品に脆弱性 - 修正パッチがリリース
PBXサーバ「Asterisk」に脆弱性 - 不正通話のおそれ
NAS向けにアップデートを公開、脆弱性5件を修正 - QNAP
QNAP、アドバイザリ4件を公開 - 「QTS」の深刻な脆弱性など解消
GitLab、アップデートを公開 - 脆弱性7件を修正
「GitHub Enterprise Server」に認証回避の深刻な脆弱性
IvantiのMDM製品にSQLiなど複数脆弱性 - アップデートがリリース
クラウド環境などでログ収集に活用される「Fluent Bit」に脆弱性
「Zabbix」のサーバに深刻な脆弱性 - 3月の更新で修正済み