Client-side Developmentは3月4日(米国時間)、「Thousands of websites hit by four backdoors in 3rd party JavaScript attack - c/side」において、4種類のバックドアに侵害された1,000のWordPressサイトを発見したと報じた。
4種類のバックドア
発見されたバックドアは1つが検出されてもアクセスを確保できるようにフォールトトレランスが考慮されているという。バックドアの概要は次のとおり。
- 隠蔽および永続性のあるWordPressプラグイン「ultra-seo-processor」をインストールする。攻撃者の任意のコマンドを実行する機能を持つ。このプラグインにより他のバックドアが展開される
- wp-config.phpおよびindex.phpに悪意のあるJavaScriptを挿入し、バックドアを提供する
- 攻撃者のSSH公開鍵をインストールし、Webサーバーへの不正アクセスを可能にする
- 「gsocket[.]io/y」からペイロードをダウンロードしてリバースシェルを展開する
これらバックドアは「cdn.csyndication[.]com」から配布された悪意のあるJavaScriptを端緒にインストールされる。本稿執筆時点において、この悪意のあるドメインへの参照を含むWebサイトは908件確認されている(参考:「csyndication.com - 908 Web pages - PublicWWW.com」)。
対策
WordPressを運用している管理者には、この攻撃による侵害の有無を確認することが推奨されている。Client-side Developmentは侵害を確認した場合、次の手順でバックドアを削除できると説明している。
- 悪意のあるWordPressプラグイン「ultra-seo-processor」を削除する
- wp-config.phpおよびindex.phpから不正なコードを削除する
- .ssh/authorized_keysから不正な公開鍵を削除する
リバースシェルについては対策の言及がない。分析によると攻撃者はbashを使用してリモートのペイロードを直接実行するという。攻撃者のサーバがすでに動作していない可能性はあるが、不審なプロセス(bashとは限らない)が存在する場合は強制終了または再起動することが推奨される。
加えてバックドアに依存しない追加の攻撃を避けるため、WordPressアカウントに不審なアカウントが追加されていないか確認し、すべての管理者アカウントのパスワードを一意で強力なものに変更することが推奨される。
サードパーティのJavaScriptに依存しているWebサイトは多く、これらWebサイトは同様の攻撃に晒される可能性がある。そのようなWebサイトを運用している管理者には不審な活動の継続的な監視や、最新のセキュリティソリューションを導入することが望まれている。