記事本文(要約)
ハッカーがOttoKit WordPressプラグインの重大な未認証特権昇格の脆弱性を利用して、不正な管理者アカウントを作成しています。この脆弱性はCVE-2025-27007で追跡されており、プラグインのAPIで認証チェックを回避するロジックエラーを利用します。ベンダーは翌日に報告を受け、4月21日にバージョン1.0.83で修正をリリースしました。パッチ適用後、攻撃者はREST APIのエンドポイントを介して攻撃を試みており、管理者ユーザー名を推測またはブルートフォースで入力し、不正なアクセスキーとメールを使用して攻撃しています。Patchstackは、早急なアップデートと攻撃の痕跡の確認を推奨しています。これは、4月2025年以降にハッカーが利用した二つ目の重大な脆弱性であり、前回のCVE-2025-3102も同様に公開日の攻撃が確認されています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 07 May 2025 11:37:48 -0400
Original URL: https://www.bleepingcomputer.com/news/security/hackers-exploit-ottokit-wordpress-plugin-flaw-to-add-admin-accounts/
詳細な技術情報
以下は、文章に基づいた詳細なセキュリティ分析です。
CVE番号
- CVE-2025-27007: 最近報告された脆弱性。この番号は特定の脆弱性を一意に識別します。
脆弱性の仕組み
- この脆弱性は、OttoKitの
create_wp_connection機能におけるロジックエラーに起因します。具体的には、アプリケーションパスワードが設定されていない場合、認証チェックを回避して管理者アクセスを得ることができます。
攻撃手法
- REST APIエンドポイントのターゲティング:
- 攻撃者はREST APIエンドポイントを標的にし、正規の統合リクエストを模倣することで攻撃を行います。
- クラッキング技術の使用:
- 管理者ユーザー名の推測やブルートフォース攻撃を行い、ランダムなパスワードや偽のアクスキー、メールアドレスを用いて不正なリクエストを送信します。
- APIのフォローアップリクエスト:
- 初期の攻撃が成功した後、攻撃者は
/wp-json/sure-triggers/v1/automation/actionエンドポイントにフォローアップのAPIコールを送信し、"type_event": "create_user_if_not_exists"というペイロードを使用して新しい管理者アカウントを静かに作成します。
潜在的な影響
- 不正な管理者の作成: 攻撃者により、管理者アカウントが不正に作成されることで、サイト全体の管理権限が乗っ取られる可能性があります。
- サイトの完全な妥協: 攻撃者は作成されたアカウントを用いてサイトの変更、データの削除、または他の悪意ある行動を実行できます。
推奨される対策
- 即時アップデート:
- OttoKitプラグインを最新バージョン(1.0.83以上)に更新することが強く推奨されます。
- ログとサイト設定のレビュー:
- 攻撃や侵害の指標を確認するために、サーバーログとサイト設定を注意深くレビューします。
- セキュリティモニタリング:
- 不審な活動の早期発見のために、セキュリティ監視ツールを導入し、リアルタイムでのモニタリングを行います。
- 追加のセキュリティ設定:
- 二段階認証やアプリケーションパスワードの設定を行い、認証の強化を図ります。
その他の重要情報
- 以前存在した認証回避の脆弱性(CVE-2025-3102)に続くもので、攻撃者はこのような脆弱性を活用して自動化された攻撃を展開していることに注意が必要です。このため、対応は迅速かつ包括的である必要があります。
