Defiantは9月13日(米国時間)、「PSA: Zero-Day Vulnerability in WPGateway Actively Exploited in the Wild」において、WordPressのプラグインであるWPGatewayが抱えているゼロディ脆弱性が積極的に悪用されていると伝えた。この脆弱性の影響を受けるWebサイトは悪意のある攻撃者に完全に乗っ取られる危険性があることに注意が必要。
PGatewayプラグインはWPGatewayクラウドサービスに関連付けられたプレミアムプラグインで、WordPressサイトを単一のダッシュボードで設定・管理する機能を提供する。このプラグインに無認証の攻撃者が管理者権限のユーザーをWordPressサイトに追加できる脆弱性があることがわかった。過去30日間に28万以上のWebサイトに対して、この脆弱性を悪用しようとする460万回以上の攻撃があったことが確認されている。
この欠陥はCVE-2022-3180として特定されており、脆弱性の深刻度はCVSSv3スコア値9.8で、Critical(緊急)と位置づけられている。影響を受けるWPGatewayのバージョンは、3.5以前のものとされている。
この脆弱性を悪用した形でWebサイトが侵害されたかどうかを判断する最も一般的な指標は、「rangex」というユーザ名を持つ悪意のある管理者が追加されているかどうかだという。この名前のユーザがダッシュボードに追加されているのを確認した場合、Webサイトが侵害されている可能性が高い。
また、Webサイトのアクセスログをチェックして「//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1」へのリクエストがあるかを確認することで攻撃を受けたかどうかを確認できる。リクエストがログに残っている場合、この脆弱性を狙ったサイバー攻撃を受けたことを示しているという。ただし、必ずしも侵入に成功したことを示すものではないとされている。
DefiantはWPGatewayプラグインをインストールしている場合、パッチが提供されるまでプラグインを削除し、WordPressのダッシュボードに悪意のある管理者ユーザーがいないかどうかを確認するよう勧めている。
