Defiantは9月7日(米国時間)、「PSA: Nearly 5 Million Attacks Blocked Targeting 0-Day in BackupBuddy Plugin」において、WordPressのプラグインであるBackupBuddyにあるゼロディ脆弱性が積極的に悪用されていると伝えた。この脆弱性により、認証されていないユーザーが、影響を受けるWebサイトから機密情報を含む可能性のある任意のファイルをダウンロードできると報告されている。

BackupBuddyプラグインはWordPressサイトのバックアップを簡単に管理できるよう設計されている。このプラグインにはバックアップファイルをローカルにダウンロードできる機能が提供されており、この機能に問題があることが明らかとなった。サーバに保存されたバックアップファイルが認証されていないユーザーにダウンロードされてしまうという。

この脆弱性を悪用したサイバー攻撃は2022年8月26日に開始され、約500万件の攻撃があったと報告されている。攻撃の大部分は次のファイルを読み取ろうとしたという。

  • /etc/passwd
  • /wp-config.php
  • .my.cnf
  • .accesshash

この欠陥はCVE-2022-31474として特定されており、セキュリティ脆弱性の深刻度はCVSSv3スコア値7.5でHigh(重要)と位置づけられている。影響を受けるBackupBuddyのバージョンは、8.5.8.0から8.7.4.1までとされている。

この脆弱性に対するパッチが適用されたバージョンはすでに公開されており、2022年9月2日にリリースされたバージョン8.7.5で解決されている。積極的に悪用される脆弱性であるため、BackupBuddyプラグインを使用しているユーザーは速やかに最新バージョンにアップグレードすることが望まれる。