WordPressプラグインElementor Proの脆弱性をハッカーが悪用

山口 Tacos

2023.04.03

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月1日と2日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

WordPressプラグインElementor Proの脆弱性をハッカーが悪用：数百万のサイトが危険！

The Hacker News – Apr 01 2023 04:36

WordPress用のサイト構築プラグイン「Elementor Pro」における深刻度の高いセキュリティ脆弱性を、詳細不明の脅威アクターらが盛んに悪用しているとの報道。Patchstackによると、同脆弱性は現在、複数のIPアドレスによって任意のPHPファイルやZIPファイルをアップロードする目的で悪用されているという。

Elementor Proは、1,200万以上のサイトで使用されていると推定される人気プラグイン。悪用が観測されている脆弱性はアクセス制御不備の脆弱性で、3.11.6以前のバージョンに影響を与える。悪用されると、認証されていない攻撃者によるWooCommerceが有効化されたWordPressサイトの完全な乗っ取りが可能になる。その後脅威アクターは、当該サイトから別の悪意あるドメインへリダイレクトさせるか、当該サイトのさらなる悪用のために悪意あるプラグインやバックドアをアップロードしたりする可能性があるという。

同脆弱性は3月22日にリリースされた3.11.7バージョンで修正されており、Elementor Proの利用者には3.11.7または最新の3.12.0への早急なアップデートが推奨されている。

ChatGPTがnpmやPythonパケットの脆弱性を検出

Medium Cybersecurity – Apr 01 2023 10:09

PythonやJavascript用のセキュリティスキャナーをフリーミアムモデルで販売するSocket社がChatGPTの手を借りて合計227件の脆弱性を発見したと、Register紙が報道。

Socket社のスキャナーは、JavaScriptやPythonプロジェクトをスキャンし、npmまたはPyPIレジストリからインポートされている多数のパッケージの中に悪意あるコードを含むのがあるかどうかを判定するというもの。

SocketはChatGPTを大量のデータによってトレーニングし、膨大な数のパケットにおける既知のパターンの自動検出に役立つようにしたという。これにより、データ流出、SQLインジェクション、権限昇格といったさまざまなカテゴリのリスクにつながる脆弱性が227件検出されたとのこと。

ただ、ChatGPTは高度な攻撃や戦術に関しては（特にそれらがすでに広範に使われているのではない限り）検出に失敗する可能性が高く、ChatGPTのみに頼る脆弱性スキャンではまだ不十分であるとのこと。

3CX狙ったサプライチェーン攻撃に北朝鮮のLazarusグループが関与か

BankInfoSecurity – Apr 01 2023 20:09

3CXを狙ったソフトウェアサプライチェーン攻撃に北朝鮮のグループ「Lazarus」が関与していることを示すさらなる証拠を、セキュリティ研究者らが発見している。

サイバーセキュリティ企業Volexityは、今回の攻撃で使われていたローダーICONICのシェルコードを分析。すると、このシェルコードのシーケンスがICONICと「APPLEJEUS」（Lazarusとの関連が指摘されていることで知られるマルウェア）でしか使われていないものとみられることが判明したという。

また、Sophosの研究者らも3CXへの攻撃で使われたコードが、過去にLazarusグループの関与が指摘されたインシデントで観測されたものと同じものだったと指摘。

さらに、CrowdStrikeも同コードの分析とリバースエンジニアリングを行い、攻撃者がLabyrinth Chollima（Lazarusグループの別名）であることを特定している。

3CXは現在、Google傘下のサイバーセキュリティ企業Mandiantとともに今回のインシデントの調査を行っているとのこと。

関連記事：3CX製ソフトウェアへのサプライチェーン攻撃で、WindowsとmacOSのユーザーが標的に

2023年4月1日

ハイライト

Propump and Controls製のOsprey Pump Controllerにおける脆弱性についてCISAが注意喚起（CVE-2023-28395、CVE-2023-28375ほか）

HackRead – Mar 31 2023 14:52

Cacti、リアルテックのほかIBM Aspera Faspexの脆弱性が盛んに悪用される（CVE-2022-46169、CVE-2021-35394ほか）

The Hacker News – Apr 01 2023 04:51

Azureの深刻な脆弱性により、認証されていない者によるリモートコード実行が行われる可能性（CVE-2023-23383）

Security Week – Mar 31 2023 08:52

2023年4月2日

ハイライト

OSINT ChatGPT 今日のクエリ（QoD） – APT 29

Tech-Wreck InfoSec Blog – Apr 01 2023 15:13

Miraiボットネット：IoTデバイスのパワーを解き放つ

Medium Cybersecurity – Apr 01 2023 06:52

LockBit、韓国の国税庁から盗まれたデータをリークへ

Security Affairs – Apr 01 2023 23:35

2023-03-31 – Qakbot (Qbot)、obama247 配布タグ

Malware-Traffic-Analysis – Apr 01 2023 06:28

マイクロソフト、検索エンジンBingと主要アプリに影響する新たなAzure ADの脆弱性を修正

The Hacker News – Apr 01 2023 08:33

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。