ゲッティイメージズ
UpdraftPlusと呼ばれるプラグインの重大な脆弱性を修正するために、過去1日間に何百万ものWordPressサイトが強制的に更新されました。
必須のパッチは、脆弱性の重大性のためにUpdraftPlus開発者の要求に応じて提供されました。これにより、信頼できないサブスクライバー、顧客、およびその他のユーザーは、脆弱なサイトにアカウントを持っている限り、サイトのプライベートデータベースをダウンロードできます。 データベースには、顧客やサイトのセキュリティ設定に関する機密情報が含まれていることが多く、パスワード、ユーザー名、IPアドレスなどを流出させる深刻なデータ侵害の影響を受けやすいサイトが何百万もあります。
悪い結果、悪用しやすい
UpdraftPlusは、Webサイトデータベースのバックアップと復元のプロセスを簡素化し、WordPressコンテンツ管理システム用にインターネットで最も広く使用されているスケジュールバックアッププラグインです。 Dropbox、Googleドライブ、Amazon S3、その他のクラウドサービスへのデータバックアップを合理化します。 その開発者は、ユーザーが定期的なバックアップをスケジュールできるようにし、競合するWordPressプラグインよりも高速でサーバーリソースの使用量が少ないと述べています。
「このバグは非常に簡単に悪用され、悪用されると非常に悪い結果になります」と、脆弱性を発見してプラグイン開発者に非公開で報告したセキュリティ研究者のMarcMontpas氏は述べています。 「これにより、特権の低いユーザーが、生のデータベースバックアップを含むサイトのバックアップをダウンロードできるようになりました。 特権の低いアカウントは多くのことを意味する可能性があります。 定期購読者、顧客(eコマースサイトなど)など。」
ウェブサイトセキュリティ会社の研究者、Montpas ジェットパックは、プラグインのセキュリティ監査中に脆弱性を発見し、火曜日にUpdraftPlus開発者に詳細を提供したと述べました。 1日後、開発者は修正プログラムを公開し、プラグインがインストールされているWordPressサイトに強制的にインストールすることに同意しました。
WordPress.orgが提供する統計 見せる 木曜日に170万のサイトが更新を受け取り、プレス時点でさらに287,000を超えるサイトが更新をインストールしました。 WordPressによると、プラグインには300万人以上のユーザーがいます。
木曜日に脆弱性を開示するにあたり、UpdraftPlus 書きました:
この欠陥により、UpdraftPlusがアクティブなWordPressインストールにログインしているユーザーは、既存のバックアップをダウンロードする特権を行使できます。この特権は、管理ユーザーのみに制限されているはずです。 これは、現在のバックアップステータスのチェックに関連するコードのアクセス許可チェックが欠落しているために可能でした。 これにより、他の方法では不明であり、ダウンロードの許可時にチェックに合格するために使用できる内部識別子を取得できました。
つまり、WordPressサイトで信頼できないユーザーがWordPressにログインできる場合、および既存のバックアップがある場合は、技術的に熟練したユーザーが既存のバックアップをダウンロードする方法を検討している可能性があります。 サイトに非公開のものが含まれている場合、影響を受けるサイトは、攻撃者がサイトのバックアップのコピーにアクセスすることにより、データの損失/データの盗難のリスクにさらされます。 その時点では、このエクスプロイトをどのように活用するかについての公的な証拠が作成されていないため、「技術的に熟練している」と言います。 この時点では、ハッカーが最新のUpdraftPlusリリースの変更をリバースエンジニアリングして解決することに依存しています。 ただし、これに時間がかかることに依存するのではなく、すぐに更新する必要があります。 あなたがWordPressサイトの唯一のユーザーである場合、またはすべてのユーザーが信頼されている場合、あなたは脆弱ではありませんが、それでも更新することをお勧めします。
