PR

WordPress King Addons脆弱性で管理者作成、攻撃進行中

Security

Source:https://thehackernews.com/2025/12/wordpress-king-addons-flaw-under-active.html

🛡 概要

WordPressの「King Addons for Elementor」プラグインに、認証不要で管理者権限アカウントを作成できる深刻な脆弱性(CVE-2025-8489、CVSS 9.8)が確認され、実際の攻撃が進行中です。影響範囲はバージョン24.12.92〜51.1.14で、2025年9月25日公開の51.1.35で修正済み。インストール数は1万超。発見者はPeter Thaleikis。Wordfenceは公開後の試行を4万8,400件以上遮断し、直近24時間でも75件を観測しています。最近の攻撃発信元として、45.61.157.120、182.8.226.228、138.199.21.230、206.238.221.25、2602:fa59:3:424::1が報告されています。

🔍 技術詳細

本脆弱性は、ユーザー登録処理に用いられる handle_register_ajax() が、リクエストで指定されたユーザーロール(例:administrator)を適切に制限せずに受け入れてしまう実装不備に起因します。攻撃者は未ログインのまま /wp-admin/admin-ajax.php に対して、当該プラグインがフックするAJAXアクション(actionパラメータ)に、role=administrator を含む細工したHTTP POSTを送信します。十分な権限チェックや許可ロールのホワイトリスト化が欠落しているため、登録時点で管理者権限が付与され、正規の管理者としてログイン可能になります。

想定される攻撃フローは次の通りです。

  • 1) 公開サイトのプラグインバージョン・エンドポイントを特定
  • 2) 未認証で /wp-admin/admin-ajax.php に登録用AJAXアクション+role=administrator をPOST
  • 3) 新規管理者アカウントが作成され、通常のログインフローで管理画面へアクセス
  • 4) 管理者権限でテーマ/プラグイン編集、ファイルアップロード、リダイレクト設定等を改変

侵害の兆候(IOC)としては、(a) 短時間に複数の POST /wp-admin/admin-ajax.php(200応答)と異常なUser-Agent、(b) wp_userswp_usermeta における見覚えのない管理者の新規作成、(c) wp-content/uploads 配下や新規プラグイン/テーマディレクトリへのPHPファイル生成、(d) 不審な外部サイトへのリダイレクトやSEOスパムの出現、などが挙げられます。

⚠ 影響

成功すると攻撃者はサイトを事実上掌握します。管理者権限でマルウェアを設置、訪問者を悪性サイトへ転送、スパム注入、バックドア恒久化、APIキーや顧客データの窃取、検索順位の毀損など、事業・ブランドへの甚大な影響が生じます。マルチサイト環境では影響範囲が連鎖的に拡大するおそれがあります。

🛠 対策

  • 即時アップデート:King Addonsを51.1.35以降へ更新。不要なら無効化/削除。
  • 登録制御の強化:WordPress一般設定「だれでもユーザー登録できる」をOFF、既定ロールを「購読者」に固定。プラグイン側の登録機能も確認。
  • アカウント監査:不審な管理者を即時停止/削除。既存管理者は強制パスワードリセットと2FA必須化。
  • 秘匿情報のローテーション:アプリ用APIキー、発行トークン、wp-config.phpのAUTH/SECUREキー類の更新を検討。
  • WAF/リバースプロキシ:/wp-admin/admin-ajax.php への未認証POSTで role=administrator を含むリクエストを遮断。該当AJAXアクションへのレート制限。
  • ファイル整合性監視:wp-content配下の新規/改変PHP、.ico/.png偽装PHP、.htaccess改変を検出。
  • バックアップと復旧手順:クリーンなバックアップからのロールバック手順を検証。

📌 SOC視点

  • Web/アプリログ:POST /wp-admin/admin-ajax.php の大量発生、クエリ/ボディに role=administrator、該当アクション名、HTTP 200/302の増加を可視化。
  • DB監査:wp_usermeta.meta_key LIKE '%_capabilities'administrator を含む新規レコードの検知。新規管理者の user_registered タイムスタンプ急増。
  • ホスト監視:php-fpm/Apache子プロセスの急増、wp-content/uploads 直下のPHP生成、権限変更(chmod 644→775など)をアラート。
  • ネットワーク:上記観測IPからのアクセス急増や同一サブネットのスキャンをブロック、GeoIP/ASNベースの一時遮断。
  • インシデント対応:不審管理者の凍結→セッション無効化→ファイル/DB差分の隔離→完全性確認→再公開の順で実施。

📈 MITRE ATT&CK

  • TA0001 初期アクセス: T1190 Exploit Public-Facing Application(公開Webアプリの脆弱性を用いた登録処理の悪用)
  • TA0003 永続化: T1136 Create Account(管理者アカウントの作成による恒久的なアクセス確保)
  • TA0004 権限昇格: T1078 Valid Accounts(正規管理者資格情報による高権限操作)
  • TA0005 防御回避/TA0003 永続化: T1505.003 Web Shell(管理権限での不正プラグイン/テーマ/ウェブシェル配置の可能性)

根拠:未認証のHTTPリクエストで登録処理を悪用し、管理者アカウントを新規作成して正規手段でログインする挙動に合致します。その後のファイル設置や設定改変はWebシェル/プラグインを用いた持続化と整合します。

🏢 組織規模別助言

  • 小規模(〜50名):即時アップデートと不審管理者の削除、ホスティング事業者のWAFを有効化。管理者は2FA必須。週次でプラグイン更新確認。
  • 中規模(50〜500名):テスト環境で検証後に本番へ段階配布。中央集約のログ監視(WAF/Apache/DB)。WordPress管理者はIdP連携+条件付きアクセスを検討。
  • 大規模(500名〜):資産・ソフトウェア台帳とSBOMで影響資産を特定し一斉パッチ。Linux EDRとFIM導入、WAFで仮想パッチ適用。レッド/パープルチームで再現検証と監視ルール化。

🔎 類似事例

  • CVE-2023-3460(Ultimate Member): 未認証での管理者権限付与が大量悪用。
  • CVE-2023-32243(Essential Addons for Elementor): パスワードリセット悪用による権限奪取。
  • CVE-2020-25213(File Manager): プラグイン経由の任意ファイルアップロードでサイト掌握。

🧭 次の一手

  • 1) 直ちにKing Addonsを51.1.35以降へ更新、不要なら無効化/削除
  • 2) 管理者一覧を監査し未知のアカウントを削除、2FAを全管理者に適用
  • 3) Web/DB/ファイルの改変痕跡を調査し、必要に応じてクリーンバックアップから復旧
  • 4) WAFで role=administrator を含む未認証登録リクエストを遮断するルールを追加
  • 次に読む:WordPress管理者アカウント不正作成の検知・初動対応チェックリスト、WAFルール実装ガイド、プラグイン更新運用のベストプラクティス