Wordpress向けのセキュリティプラグイン「Wordfence」を提供しているDefiantが12月9日(ドイツ時間)、公式ブログ「1.6 Million WordPress Sites Hit With 13.7 Million Attacks In 36 Hours From 16,000 IPs」において、12月7日からWordPressサイトを標的としたアクティブな攻撃が急増していると伝えた。

同社によれば、12月7日から9日にかけての36時間で、160万を超えるWordPressサイトが、4つの異なるプラグインといくつかのEpsilon Frameworkテーマを標的としして、16000超のIPアドレスから発生する1370万を超える攻撃にさらされたという。

  • 2021年12月5日から9日にかけての攻撃数の変化

    2021年12月5日から9日にかけての攻撃数の変化

攻撃者が悪用しているのは、認証されていないユーザーによって任意のオプションが変更できるという既知の脆弱性で、この脆弱性を持つ次の4つのプラグインを標的になったという。

  • Kiwi Social Share (バージョン2.0.10以前)
  • WordPress Automatic (バージョン3.53.2以前)
  • Pinterest Automatic (バージョン4.14.3以前)
  • PublishPress Capabilities (バージョン2.3以前)

また、同様の脆弱性を持つEpsilon Framework向けの次のテーマも標的にされたとのこと。

  • Shapely (バージョン1.2.8以前)
  • NewsMag (バージョン2.4.1以前)
  • Activello (バージョン1.4.1以前)
  • Illdy (バージョン2.1.6以前)
  • Allegiant (バージョン1.2.5以前)
  • Newspaper X (バージョン1.3.1以前)
  • Pixova Lite (バージョン2.0.6以前)
  • Brilliance (バージョン1.2.9以前)
  • MedZone Lite (バージョン1.2.5以前)
  • Regina Lite (バージョン2.0.5以前)
  • Transcend (バージョン1.1.9以前)
  • Affluent (バージョン1.1.0より前)
  • Bonkers (バージョン1.0.5以前)
  • Antreas (バージョン1.0.6以前)
  • NatureMag Lite (修正バージョンなし)

攻撃者は、これらのプラグインまたはテーマの脆弱性を悪利用して「users_can_register」オプションを「有効」に変更し、「default_role」オプションを「管理者」に設定しようと試みる。設定の変更に成功すると、対象のサイトに管理者として接続できるようになる。

2021年12月8日以降になって攻撃が急増した理由としては、PublishPress Capabilitiesの脆弱性に対する修正パッチが同6日にリリースされたことがきっかけではないかと推測されている。今後も継続的に攻撃が試みられる可能性があるため、上記のプラグインまたはテーマのいずれかを使用しているWordPressサイトの管理者は、影響を回避するために最新バージョンへのアップデートを実施することが推奨されている。