WordPress 4.7 における REST API の脆弱性
WordPress は仕事でも私用でも使ってないのでスルーしてたのだが IPA と JPCERT/CC から注意喚起が出てたので紹介しておく。
WordPress 4.7.2 は1月末にリリースされ,この時に3つの脆弱性が公表されたが,それとは別に重大な脆弱性があったようだ。 WordPress 側は安全確保のため最新版がユーザに行き渡ったタイミングで発表を行ったと言っている1。
この間にSucuriをはじめとするセキュリティ企業と連携し、攻撃が発生した場合でも各社のファイアウォールで防御できる態勢を確立。自動更新を通じてWordPressの更新版が行き渡り、できるだけ多くのユーザーが保護されるのを待ってから、情報を公開したという。
今回は,この4つ目の脆弱性に絞って紹介する。 他の3つについては以下を参照のこと。 (このうち CVE-2017-5611 のみ CVSSv3 基本評価値が7を大幅に超えている)
脆弱性の内容
バージョン 4.7 から REST API が WordPress Core に組み込まれたらしいのだが,そこに脆弱性があったようだ。 この脆弱性を利用すると REST API を使って認証を回避してコンテンツを書き換えることができる。 詳しくは以下の記事を参照のこと。
影響度(CVSS)
CVSSv3 基本評価値 5.3 ( CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分(AV) | ネットワーク(N) |
| 攻撃条件の複雑さ(AC) | 低(L) |
| 必要な特権レベル(PR) | 不要(N) |
| ユーザ関与レベル(UI) | 不要(N) |
| スコープ(S) | 変更なし(U) |
| 情報漏えいの可能性(機密性への影響, C) | 低(L) |
| 情報改ざんの可能性(完全性への影響, I) | なし(N) |
| 業務停止の可能性(可用性への影響, A) | なし(N) |
んー。 「情報改ざんの可能性」が「なし(N)」なわけないと思うのだが… ちなみに「情報改ざんの可能性」が「高(H)」なら基本評価値は 8.2 になる。
CVSS については解説ページを参照のこと。
影響を受ける製品
WordPress 4.7 および 4.7.1
対策・回避策
バージョン 4.7.2 にアップデートすること。 すぐにアップデートが難しい場合は REST API を無効化すること(Web サーバ側の設定変更等が必要)。
JPCERT/CC では
すでに、本脆弱性を悪用する実証コードが公開されており、JPCERT/CC にて実証コードを用いて検証した結果、WordPress のコンテンツが改ざんできることを確認しました。また、対象となる WordPress を利用していると思われる国内の複数のサイトが改ざん被害を受けています。また、本脆弱性を悪用した改ざん事例も確認されています。
と注意喚起を行っており,速やかに対策を実施する必要がある。
ブックマーク
- 2月初めの複数の国内サイトの改ざんについてまとめてみた - piyolog
- WordPress REST API Vulnerability Abused in Defacement Campaigns
- 【重要】WordPressの脆弱性についての注意喚起 | さくらインターネット
- 既に10万以上のサイトで改ざん被害 背景と対処方法を解説:WordPress脆弱性発覚、その後の状況 4.7.2リリース時に脆弱性が公開されなかった理由 - @IT
CMS の管理について
- WordPressで全ての自動更新を有効にする方法 | 気ままにマイウェイ
- GitHub 上にホストした WordPress プラグインを自動アップデートに対応させる - Qiita
- WordPressをご利用のお客様へWAF設定のご案内 | さくらインターネット
- 「自分で面倒見られる子」だけが CMS を導入しなさい
参考図書
- フルスクラッチから1日でCMSを作る_シェルスクリプト高速開発手法入門 改訂2版 (アスキードワンゴ)
- 上田 隆一 (著), 後藤 大地 (著), USP研究所 (監修)
- ドワンゴ 2019-07-05 (Release 2019-07-05)
- Kindle版
- B07TSZZPWN (ASIN)
- 評価
既存の常識に凝り固まったソフトウェア・エンジニアに「痛恨の一撃」を加える快書もしくは怪書。