Sneeit WordPress RCE悪用とICTBroadcast脆弱性でFrost拡散 - SecureShield セキュリティニュースまとめ

Source:https://thehackernews.com/2025/12/sneeit-wordpress-rce-exploited-in-wild.html

🛡 概要

WordPress向けSneeit Frameworkプラグインに深刻なリモートコード実行（RCE）の脆弱性（CVE-2025-6389, CVSS 9.8）が確認され、野放しで悪用が進行中です。影響範囲はv8.3までで、8.4（2025年8月5日公開）で修正済み。アクティブ導入は約1,700サイト。加えて、ICTBroadcastの重大な欠陥（CVE-2025-2611, CVSS 9.3）がシェルスクリプトのステージャ経由でDDoSボットネット「Frost」を投下する攻撃に使われています。Frostは状況判定しながら複数アーキテクチャ向けバイナリを展開し、条件一致時のみ既知欠陥（例：CVE-2025-1610）を突く戦術が観測されています。

🔍 技術詳細

Wordfenceの観測によれば、SneeitのRCEはプラグイン機能の入力検証不備が根因で、特定コールバック（sneeit_articles_pagination_callback）に渡った外部入力がcall_user_funcに流れ、任意のPHP関数呼び出しが成立します。攻撃者は未認証のHTTPリクエストを/wp-admin/admin-ajax.phpへ送信し、wp_insert_userなどの関数を悪用して管理者権限のアカウントを作成し得ます。実際の攻撃では、偽管理者名「arudikadis」の作成や、バックドア性の高いPHPファイル（tijtewmg.php, xL.php, Canonical.php, .a.php, simple.php）をアップロードする挙動が確認されています。さらに、外部サイト（racoonlab[.]top）から.htaccessを取得してアップロードディレクトリ等でスクリプト実行を許可する設定を押し戻し、ウェブシェルの可動性を担保する工夫も見られます。公開当日（2025-11-24）から攻撃が急増し、ブロック件数は累計131,000超、直近24時間でも1.5万件規模の試行が観測されています。発信元の一部IPは185.125.50[.]59、182.8.226[.]51、89.187.175[.]80、194.104.147[.]192、196.251.100[.]39、114.10.116[.]226、116.234.108[.]143です。

VulnCheckの報告では、ICTBroadcastの欠陥（CVE-2025-2611）を突く侵入後、シェルスクリプトのステージャが複数アーキテクチャ向けの「frost」バイナリを取得・実行し、痕跡隠蔽のために自身とペイロードを削除します。FrostはDDoS機能に加え、拡散用のエクスプロイト群を内包し、標的の応答を検査してから個別CVEに適用する選択的手法を採用。例えばCVE-2025-1610の悪用は、HTTP応答ヘッダに特定のSet-Cookieパターン（user=(null)→user=admin）が確認された場合にのみ進行します。攻撃の一部は87.121.84[.]52から観測。脆弱な公開ホストは1万未満で、大規模ボット化よりも限定的・選択的な運用が示唆されます。

⚠ 影響

サイト乗っ取り：管理者アカウントの不正作成、テーマ/プラグイン改ざん、ウェブシェル常駐
訪問者被害：マルウェア配布やスパム/不正リダイレクトによるブランド毀損とSEO低下
横展開：同一サーバ上の他サイトや共有ホスティング環境への波及
DDoS加担/被害：Frostの参加や標的化により、サービス停止、帯域逼迫、コスト増大

CVSS: CVE-2025-6389（9.8/緊急）、CVE-2025-2611（9.3/重大）。

🛠 対策

緊急パッチ：Sneeitをv8.4以降へ即時更新。未知の要件なら無効化/削除を検討。
侵害確認：未知の管理者（例：arudikadis）、不審PHP（xL.php, Canonical.php, .a.php, simple.php, tijtewmg.php, up_sf.php）、不審.htaccessの有無を点検。検出時はファイル隔離・差分確認・復旧（クリーンなバックアップから）・認証情報リセット。
WAF/リバプロ：/wp-admin/admin-ajax.phpへの未認証POSTをレート制限、特定アクション名のフィルタ、既知IOCのブロック。ログを中央集約。
最小権限と設定強化：ファイル編集無効化、アップロードディレクトリの実行権禁止、管理URLのIP制限、2FAの導入。
ICTBroadcast：ベンダーの修正適用、管理UIの外部公開禁止（VPN越しのみ）、不要プロトコル遮断、eBPF/IPSでのシグネチャ適用。
ボット対策：アウトバウンドの不審通信検出、DDoS対策基盤（スクラビング/Anycast）整備、帯域監視のしきい値を調整。

📌 SOC視点

HTTP/アプリログ：/wp-admin/admin-ajax.phpへの大量POST、未知のactionパラメータ、短時間のユーザー作成操作を相関。WordPress管理操作時刻と管理者の勤務時間帯の乖離を検知。
ファイル監査：wp-content/uploads配下や一時ディレクトリに対する新規PHP/htaccess作成、権限変更（chmod/chown）をFIMで検出。
プロセス監視：php-fpm/php-cgi配下からの外部接続やcurl/wget実行、sh経由での多体系バイナリ展開を検出。ステージャ実行後の自己削除（T1070.004）痕跡を補完的に収集。
ネットワーク：IOC（例：racoonlab[.]top, 87.121.84[.]52 他）へのDNS/HTTPリクエスト、異常な外向きSYN/UDPフラッドの立ち上がり検知。NetFlowとEDRを突合。
IAM：急な管理者増加、権限昇格、APIキー/アプリパスワードの新規発行をアラート化。

📈 MITRE ATT&CK

T1190 Exploit Public-Facing Application（初期侵入）：Sneeitの未認証RCEとICTBroadcast欠陥の外部公開サービス悪用。
T1136.001 Create Account（ローカル/アプリアカウント）：WordPress管理者アカウントの不正作成。
T1505.003 Server Software Component: Web Shell（永続化/実行）：xL.php等のウェブシェル設置。
T1105 Ingress Tool Transfer（ツール搬入）：外部からPHP/バイナリ/.htaccessを取得。
T1562.001 Impair Defenses（防御回避）：.htaccess変更により実行制限を迂回。
T1070.004 Indicator Removal: Delete Files（痕跡消去）：Frostステージャとペイロードの自己削除。
T1498 Network Denial of Service（影響）：FrostによるDDoS機能。
（偵察）T1595 Active Scanning：Frostが応答ヘッダを確認し、条件一致で攻撃選択。