www.morihi-soc.net

セキュリティの話題を中心に取扱中

ハニーポット観察記録(39)「WordPress REST API の脆弱性を狙った改ざんの試み」

どうも。ハニーポッターの森久です。
あけましておめでとうございます。今年もどうぞよろしくお願いします。

年末年始の長期休暇を取られている方が多いと思いますが、いかがお過ごしでしょうか。
一年の計は元旦にありと言われますが、今年やることの構想を練ったり、ToDO リストを作ったりしたかもしれません。
今年はやるぞーという意気込みで書き初めする人はどれだけいるんでしょうかね。

morihi-soc は引き続き、誰もが安心して使える安全なインターネットを目指して、インターネットの隅っこで活動をしていきます。ブログ記事の更新や、ハニーポッター技術交流会などでハニーポッターが増えれば良いなと思う次第です。

さて今回はちょうど一年ほど前に騒がれた、WordPress の REST API における認証を回避して、コンテンツを書き換えられる脆弱性について取り上げようと思います。
脆弱性情報の公開や実際の攻撃等が発生したのが2017年1月末から2月ごろにかけてだったので、拙書「サイバー攻撃の足跡を分析するハニーポット観察記録」には書けなかった内容です。

 

攻撃リクエストサンプル

※一部の情報を意図的に伏せています。

POST リクエストでアクセスしている先は /wp-json/wp/v2/posts ですね。このパスは、WordPress の REST API 機能を使う時に使用します。
今回の通信の HTTP ヘッダーを見ると、まず User-Agent が libwww-perl となっていて、通常のブラウザによるアクセスでは無さそうです。
また Content-Type が application/json を指定しているため、POST のボディ部分が JSON 形式のデータであることが伺えます。

POST のボディ部分で最初の要素は id ですね。指定されている値は 285jTRX です。id パラメータは、WordPress において記事を一意に特定するために使われ、数値型です。しかし jTRX という文字列がくっついていることから、正規の通信ではないといえます。ココが WordPress REST API の脆弱性を狙った通信の特徴的な部分です。
あとに続く部分は、改ざんする内容です。
どのように改ざんされるのか、検証環境で実際に試してみました。その結果は次の画像の通りです。

WordPressの改ざん検証

記事のタイトルと本文が Sell CC Fresh〜に書き換わっています。CC は Credit Card の略のようです。
本文はリンクになっていて、 Visa や MasterCard, American Express などのクレジットカード情報を販売する Web サイトへ誘導しようとしています。
2018年1月3日現在、リンク先のページは既に閉鎖されていてアクセスはできませんでした。
しかし以前、tktk セキュリティ勉強会で発表した際にスクリーンショットを保存していたので、参考までに紹介します。

クレジットカード情報の販売(の疑いのある)サイト

 

どうやら Asia リージョンの Visa/Master カードの情報は10ドルで販売されているようですね。
また Google 検索すると、多数ヒットしたのでアンダーグラウンドマーケットの広告の可能性があります。

Google 検索結果による改ざん状況の確認

Web サイトの更新が2017年3月7日や8日になっているので、1月の WordPress の更新をしておらず、2月の攻撃が流行している情報があっても対策をしていなかったブログが改ざんされてしまった可能性があります。
やはり脆弱性情報が公開された場合、可能な限り早急にアップデートすることが望ましいですね。

さて WordPress REST API の脆弱性を悪用した改ざんの試みはたくさん来ています。他の事例について、攻撃通信を検証環境にて再現したスクリーンショットを紹介します。

 

攻撃事例1

改ざん事例1

こちらは非常に分かりやすい改ざんです。タイトルや本文が Hacked から始まっています。キャラクターは BSD 系のデーモンくんでしょうかね。改ざんすることが目的の攻撃と考えられます。

 

攻撃事例2

改ざん事例2

こちらは、iPhone をプレゼントするキャンペーンページへの誘導を目的とした改ざんと考えられます。実際にこのようなキャンペーンが開催されているとしても、リンクが正規サイトではない可能性があります。そのためクリックしてしまうと、フィッシングサイトへ誘導される恐れがあります。
iPhone 7 Plus というちょっと型番が古いモデルを目玉にしている理由はよくわかりません・・・。

 

攻撃事例3

改ざん事例3

こちらは、2015年に公開された映画「Mortdecai(邦題:チャーリー・モルデカイ 華麗なる名画の秘密)」のオンライン視聴サイトへの誘導を目的としていると考えられます。
本文の最下部の「Watch movie online Mortdecai(2015)」の部分がオンライン視聴サイトへのリンクになっています。
ただこのサイトは、無料で映画が視聴できるようで、違法アップロードされた映像の可能性があります。おそらく視聴数によって、アップロード者が広告収入を得ることができるなど、何らかの金銭的なメリットがあるのではないかと推測します。アクセスはしないほうがいいでしょう。

 

まとめ

今回は、WordPress の REST API における認証を回避してコンテンツを改ざんされる攻撃を紹介しました。攻撃者によって、改ざんの目的は様々です。
WordPress は非常に人気の高い CMS であり、一度脆弱性が発見されると悪用される危険性があります。可能な限り早くアップデートしましょう。今だに脆弱なバージョンを使っている人は少ないと思いますが、WordPress 4.7 および 4.7.1 が影響を受けます。心当たりのある方はすぐにコンテンツ内容の確認をしてください。
またもしもの事態に備えて、バックアップを取っておくことを推奨します。

 

参考情報

WordPress 4.7.1 の権限昇格脆弱性について検証した(徳丸浩の日記)
https://blog.tokumaru.org/2017/02/wordpress-4.7.1-Privilege-Escalation.html

WordPress 権限昇格の脆弱性について
https://www.slideshare.net/ssuser12fe9c/wordpress-77433411

WordPressのREST APIにおける脆弱性をDockerを使って検証してみる(Lo-Fi Memories)
http://shalman.hatenablog.com/entry/2017/02/10/160328

 

Written by morihisa

1月 3rd, 2018 at 11:09 am