www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(20)

ハニーポットで WordPress のプラグインに存在する LFI の脆弱性を狙った攻撃を検知しました.

検知したログは下記のとおりです.

GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.0
Host: ********
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; TISA)

※一部の情報を意図的に伏せています.

 

これは Slider Revolution という WordPress のプラグインに存在する脆弱性を狙った攻撃です.どうやら,img というパラメータには Local File Inclusion(LFI)の脆弱性があるようです.

LFI とは一言で説明すると,サーバ内部のファイルを外部から不正に読み出す攻撃手法のことです.

今回は wp-config.php ファイルの不正な読み出しを試みています.wp-config.php には,WordPress が利用する情報(データベース名やユーザ名,パスワード等)が含まれています.

そのため,このファイルが読み出された場合は,データベースへの不正接続や不正利用のような被害が発生する可能性が考えられます.

 

Slider Revolution に関するプラグインを利用している場合は,プラグインを最新バージョンに更新することを推奨します.

また同様の攻撃を複数回検知しています.その攻撃リクエストに含まれていた User-Agent を列挙します.

  • Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; TISA)
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:23.0) Gecko/20100101 Firefox/23.0
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:25.0) Gecko/20100101 Firefox/25.0
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:32.0) Gecko/20100101 Firefox/32.0
  • Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; fr; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
  • Mozilla/5.0 (Windows NT 5.2; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
  • Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1833.5 Safari/537.36
  • Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0
  • Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0
  • Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1667.0 Safari/537.36
  • Mozilla/5.0 (Windows NT 6.3; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0

 

上記のように,User-Agent に一貫性が見られません.そのため,推測ではありますが,特定の攻撃スクリプトが公開されているわけではなく,攻撃者の一人ひとりが独自に攻撃スクリプトを作成し,脆弱な WordPress ブログを探査しているという可能性が考えられます.

参考情報

Slider Revolution Plugin Critical Vulnerability Being Exploited (Sucuri Blog)
http://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

 

Written by morihisa

9月 23rd, 2014 at 10:54 pm