WordPressでメディアファイル編集時にサーバー上の任意のファイルを削除可能な脆弱性、バージョン4.9.6でも未修正

by Christine Rondeau

人気のCMS「WordPress」に、攻撃者がサーバー上にある任意のファイルを削除することができる脆弱性の存在が指摘されています。画像ファイルが削除される程度であれば被害は軽微ですが、セキュリティ関連ファイルの削除も可能であり、WordPressの再インストールを勝手に行われてしまうこともあり得ます。

この脆弱性は2017年11月にWordPressセキュリティチームへ報告されていますが現在もパッチは当てられておらず、最新版であるバージョン4.9.6でも未修正だとのこと。

WARNING: WordPress File Delete to Code Execution
https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/

PHPのセキュリティに詳しいRIPSTECHによると、この脆弱性は攻撃者がWordPressのメディアファイルを編集・削除できる権限を持っていることが前提なので、事前にアカウントの乗っ取りや別の脆弱性を利用して権限昇格を行う必要があるとのこと。

必要な権限を手に入れた攻撃者は、フォルダへのアクセス制限を司る「.htaccess」や、フォルダ内のファイルリスト表示を防ぐ「index.php」ファイル、WordPressをインストール済みであることを示す「wp-config.php」などを削除することが可能になります。特に最後の「wp-config.php」にはデータベースの認証情報が含まれるので、削除されると、次にウェブサイトを訪問したときにまるでWordPressがまだインストールされていないかのような動作となり、WordPressの再インストールが行われます。攻撃者が自分を管理者アカウントとしてインストールを終えると、サーバー上で任意のコードを実行することが可能になります。

RIPSTECHのサイトでは、実際にメディアファイルの編集・削除画面から「wp-config.php」を削除するデモンストレーション映像を見ることができます。

映像はまず、WordPressにログインするところからスタート。攻撃者のアカウントは、すでにメディアファイルの編集・削除を実行可能です。

メディアファイルの新規追加をします

選んでいる「logo.png」ファイル自体は何の変哲もないファイル。

しかし、ファイルの追加準備ができたところからが問題。開発ツールを開き……

アップロードフォームへの入力情報を確認

値を手動で書き換えて……

サムネイルを「wp-config.php」に設定

そして、このファイルを削除しようとします。表示されているのは「削除の取り消しはできない」という、WordPressのファイル削除時の共通メッセージ。

無視してファイルを削除すると、言語を選ぶ画面が出現。これは、WordPressをインストールする際に見る画面……。

言語を選ぶと表示されるのは「Welcome to WordPress」という初期画面。やはり、「未インストール」状態に戻ってしまっています。

攻撃者はこれで再インストールが実行できる、という流れです。

脆弱性は2017年11月20日の時点でバグ報告プラットフォームのHackeroneからWordPressのセキュリティチームへ報告が上げられているものですが、セキュリティチームはHackeroneで対話しようとせずRIPSTECHからのパッチリリースに関する問い合わせに無反応。2018年5月には、Hackeroneでのメッセージを見落としている可能性を考慮してTwitterでDMを送ったものの、やはり無反応だったため、報告から7カ月が経過したことをもって情報公開に踏み切ったとのこと。

WordPressでは2017年2月に脆弱性を利用したサイト改竄被害が出ていて、バージョン4.7.2で修正が行われています。

WordPress の脆弱性対策について：IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html