ラック
Home > CMS > 記事 > 2017年2月 > WP4.7.0および4.7.1のREST APIの脆弱性について

WP4.7.0および4.7.1のREST APIの脆弱性について

カテゴリ: WordPress

先週木曜日に公開された情報に目を奪われました。

WordPress 4.7.0でコアにマージされたREST APIの機能に脆弱性があり、「(REST API経由で)ユーザ認証なしでコンテンツの改ざんが可能」というものでした。

詳しい内容は末尾の参考記事一覧を参照ください。

This vulnerability allows an unauthenticated user to modify the content of any post or page within a WordPress site.

Content Injection Vulnerability in WordPress 4.7 and 4.7.1

上記はセキュリティベンダーSucuriの技術ブログより引用。「This vulnerability allows an unauthenticated user」とあります。…これはヤバそうな雰囲気がしてきましたよ。

We believe transparency is in the public’s best interest. It is our stance that security issues should always be disclosed. In this case, we intentionally delayed disclosing this issue by one week to ensure the safety of millions of additional WordPress sites.

Make WordPress Core

この件に関しては、被害が出ないようにするために情報の開示も問題が修正された4.7.2のリリースと同時ではなく、わざと一週間遅らせたようです(それと同時に、情報の開示と透明性の重要性も認識しているため、情報の開示を行った、とも)。

…ということで、ちょっと検証してみたいですね(もちろん他人に迷惑が掛からないように、自前で)。

とそんなことを考えていたら、検証記事がアップされていました。やり方が分かったので、この記事を同じことを自分の手元でもやってみます。

検証

準備

ということで、検証(というよりは追試)です。

まず脆弱性があるバージョンのWordPressをダウンロード。今回は4.7.1にします。ダウンロードしたWordPressを検証用の仮サーバにインストールします。

テストサイトをインストール

素の4.7.1をインストールしました。この後コメント受付とかパーマリンクとか、検証しやすいように少し設定は変えましたが、機能的には素のままです。

テスト投稿もして準備完了

テスト記事も投稿して、まだ(ほぼ)素の状態であることをアピールしておきます。

検証

脆弱性を突くPOSTリクエスト

ここに、検証用のPOSTリクエストを投げつけます。内容は上記検証記事と同じ内容です。もちろん、サーバは異なりますが。

不正なPOSTリクエストにより、コンテンツ内容が改ざんされた

はい、あっさりと改ざんされてしまいました。

今回やったことは、攻撃としてはPOSTリクエストを投げただけで、認証も不要であることから、非常に簡単にコンテンツを改ざんできるということが分かりました。

ちなみに念のため、4.7.2にアップデートした別のWordPressサイトは同様のPOSTリクエストを投げても400 Bad Requestを返して、記事も改ざんされませんでした(4.7.2で当該脆弱性を修正しているので、当然の結果ですが)。

まとめ

以上より、非常に簡単にコンテンツが改ざんできる、ということが分かりました。4.7.0および4.7.1のバージョンを使用している場合は、速やかに4.7.2にアップデートした方が良い、ということを改めて再確認しました。

参考

以下追記(2/7)

実際の被害のニュースやセキュリティ関係からの通知。

情報処理推進機構(IPA)によると、HPで使われているソフトウエア「ワードプレス」で新たに見つかったセキュリティーの弱点(脆弱性)を悪用したハッカー攻撃が世界的に多発しており、国内でも同様の被害が出た可能性がある。50以上のサイトが改ざんされたもようだ。IPAの担当者は「脆弱性を修正した最新版ソフトへの更新を大至急実施してほしい」と注意を呼び掛けている。〔共同〕

サイト改ざん相次ぐ 病院や大学、五輪相も被害  :日本経済新聞

開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。

WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構

上記以外の通知や報道は以下に列挙。

僅か一夜ちょこっとくらいで実際の被害が出ていて乾いた笑いが出てきました…。

タグ:

 



関連する記事一覧