Client-side Developmentは3月4日(米国時間)、「Thousands of websites hit by four backdoors in 3rd party JavaScript attack - c/side」において、4種類のバックドアに侵害された1,000のWordPressサイトを発見したと報じた。

  • Thousands of websites hit by four backdoors in 3rd party JavaScript attack - c/side

    Thousands of websites hit by four backdoors in 3rd party JavaScript attack - c/side

4種類のバックドア

発見されたバックドアは1つが検出されてもアクセスを確保できるようにフォールトトレランスが考慮されているという。バックドアの概要は次のとおり。

  1. 隠蔽および永続性のあるWordPressプラグイン「ultra-seo-processor」をインストールする。攻撃者の任意のコマンドを実行する機能を持つ。このプラグインにより他のバックドアが展開される
  2. wp-config.phpおよびindex.phpに悪意のあるJavaScriptを挿入し、バックドアを提供する
  3. 攻撃者のSSH公開鍵をインストールし、Webサーバーへの不正アクセスを可能にする
  4. 「gsocket[.]io/y」からペイロードをダウンロードしてリバースシェルを展開する

これらバックドアは「cdn.csyndication[.]com」から配布された悪意のあるJavaScriptを端緒にインストールされる。本稿執筆時点において、この悪意のあるドメインへの参照を含むWebサイトは908件確認されている(参考:「csyndication.com - 908 Web pages - PublicWWW.com」)。

対策

WordPressを運用している管理者には、この攻撃による侵害の有無を確認することが推奨されている。Client-side Developmentは侵害を確認した場合、次の手順でバックドアを削除できると説明している。

  • 悪意のあるWordPressプラグイン「ultra-seo-processor」を削除する
  • wp-config.phpおよびindex.phpから不正なコードを削除する
  • .ssh/authorized_keysから不正な公開鍵を削除する

リバースシェルについては対策の言及がない。分析によると攻撃者はbashを使用してリモートのペイロードを直接実行するという。攻撃者のサーバがすでに動作していない可能性はあるが、不審なプロセス(bashとは限らない)が存在する場合は強制終了または再起動することが推奨される。

加えてバックドアに依存しない追加の攻撃を避けるため、WordPressアカウントに不審なアカウントが追加されていないか確認し、すべての管理者アカウントのパスワードを一意で強力なものに変更することが推奨される。

サードパーティのJavaScriptに依存しているWebサイトは多く、これらWebサイトは同様の攻撃に晒される可能性がある。そのようなWebサイトを運用している管理者には不審な活動の継続的な監視や、最新のセキュリティソリューションを導入することが望まれている。