【注意喚起】All in One SEOプラグインで重大な脆弱性

All in One SEOプラグイン(wordpress)で重大な脆弱性 #

WordPress のプラグイン「All in One SEO」について脆弱性が確認され修正版が公表されました。

脆弱性の概要としては、サイト攻撃者によるサイトの乗っ取り、データベースに記録された情報の盗み出しなどの恐れがあるという内容です。

■ 脆弱性の影響を受けるバージョン
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
All in One SEO 4.0.0 から 4.1.5.2

■ 対応方法
 ̄ ̄ ̄ ̄ ̄ ̄
該当プラグインのアップデート
・WordPressの管理ページ(ダッシュボード)にログイン後、「プラグイン」の項目で
All in One SEOプラグインの最新バージョン 4.1.5.3 へのアップデートを行ってください。

■ SUCURIでの報告(英語サイト) #

Critical Vulnerabilities in All in One SEO Plugin Affects Millions of WordPress Websites #

Exploitation Level: Easy
CVSS Score: 9.9 / 7.7
Vulnerability: Privilege Escalation, SQL Injection
Patched Version: 4.1.5.3

Last week, security researcher at Automattic Marc Montpas recently discovered two severe security vulnerabilities within one of the most popular SEO plugins used by WordPress website owners: All in One SEO. The plugin is used by more than three million websites and if left unpatched could cause some serious headaches for WordPress users.

The Details #

Both vulnerabilities require that the attacker have an account on the website, but the account could be as low-level as a subscriber. WordPress websites by default allow any user on the web to create an account. By default new accounts are ranked as subscriber and do not have any privileges other than writing comments. However, certain vulnerabilities, such as the ones just discovered, allow these subscriber users to have vastly more privileges than they were intended to have. When exploited in tandem, these two security holes allow an attacker to take over an unpatched WordPress website.

Authenticated Privilege Escalation #

The first issue found with this plugin is interesting, and can be exploited by simply changing a single character of a request to uppercase. It affects versions 4.0.0 and 4.1.5.2 of All in One SEO. This plugin has access to a number of REST API endpoints, but performs a permission check before executing any commands sent. This ensures that the user has proper permissions to instruct the plugin to execute commands. However, All in One SEO did not account for the subtle fact that WordPress treats these REST API routes as case-insensitive strings. Changing a single character to uppercase would bypass the authentication checks altogether.

When exploited, this vulnerability has the capability to overwrite certain files within the WordPress file structure, effectively giving backdoor access to any attacker. This would allow a takeover of the website, and could elevate the privileges of subscriber accounts into admins.

Vulnerable code in All-In-One-SEO WordPress plugin allowing for privilege escalation

Authenticated SQL Injection #

The second vulnerability discovered is present in versions 4.1.3.1 and 4.1.5.2 of this plugin. There is a particular endpoint located here:

/wp-json/aioseo/v1/objects

This endpoint isn’t intended to be accessible by low-level accounts. However, since the previous vulnerability described allowed for privilege escalation, the attackers could first elevate their privileges and then execute SQL commands to leak sensitive data from the database, including user credentials and admin information.

Vulnerable code in All-In-One-SEO WordPress plugin allowing for SQL injection

In Conclusion #

If your website is using All in One SEO be sure to update to the most recent version as soon as possible! You will also want to review the administrator users present on your website. Remove any suspect users that you do not recognise, and for good measure change all administrator account passwords. It’s also prudent to add some additional hardening to your administrator panel.

Users of our firewall are protected against these vulnerabilities. Although we always recommend updating out of date plugins to the most recent version, particularly in cases such as these where security issues are present!

All in One SEOプラグインの重大な脆弱性が数百万のWordPressWebサイトに影響を与える #

悪用レベル:簡単
CVSSスコア: 9.9 / 7.7
脆弱性:特権の昇格、SQLインジェクション
パッチが適用されたバージョン: 4.1.5.3

先週、オートマティックでのセキュリティ研究者のMarc Montpasは最近2件の深刻なセキュリティ上の発見の脆弱性:WordPressのウェブサイトの所有者によって使用される最も人気のあるSEOのプラグインのAll in One SEOのすべて。プラグインは300万を超えるWebサイトで使用されており、パッチを適用しないままにしておくと、WordPressユーザーに深刻な頭痛の種を引き起こす可能性があります。

詳細 #

どちらの脆弱性も、攻撃者がWebサイトにアカウントを持っている必要がありますが、アカウントはサブスクライバーと同じくらい低レベルである可能性がありますWordPress Webサイトでは、デフォルトでWeb上のすべてのユーザーがアカウントを作成できます。デフォルトでは、新しいアカウントはサブスクライバーとしてランク付けされ、コメントを書き込む以外の特権はありません。ただし、発見されたばかりのような特定の脆弱性により、これらのサブスクライバーユーザーは意図したよりもはるかに多くの特権を持つことができます。これらの2つのセキュリティホールが連携して悪用されると、攻撃者はパッチが適用されていないWordPressWebサイトを乗っ取ることができます。

認証された特権の昇格 #

このプラグインで最初に見つかった問題は興味深いものであり、リクエストの1文字を大文字に変更するだけで悪用される可能性があります。All in OneSEOのバージョン4.0.0および4.1.5.2に影響します。このプラグインは多くのRESTAPIエンドポイントにアクセスできますが、送信されたコマンドを実行する前に権限チェックを実行します。これにより、ユーザーがプラグインにコマンドを実行するように指示するための適切な権限を確実に得ることができます。ただし、 All in One SEOは、WordPressがこれらのRESTAPIルートを大文字と小文字を区別しない文字列として扱うという微妙な事実を考慮していませんでした。1文字を大文字に変更すると、認証チェックが完全にバイパスされます。

この脆弱性が悪用されると、WordPressファイル構造内の特定のファイルを上書きする機能があり、攻撃者にバックドアアクセスを効果的に提供します。これにより、Webサイトの乗っ取りが可能になり、サブスクライバーアカウントの特権が管理者に昇格する可能性があります。

認証されたSQLインジェクション #

発見された2番目の脆弱性は、このプラグインのバージョン4.1.3.1および4.1.5.2に存在します。ここに特定のエンドポイントがあります:

/ wp-json / aioseo / v1 / objects

このエンドポイントは、低レベルのアカウントがアクセスできるようにするためのものではありません。ただし、前述の脆弱性により特権の昇格が可能であったため、攻撃者は最初に特権を昇格させ、次にSQLコマンドを実行して、ユーザーの資格情報や管理者情報などの機密データをデータベースから漏洩させる可能性があります。

結論は #

WebサイトでAllin One SEOを使用している場合は、できるだけ早く最新バージョン更新してください。また、Webサイトに存在する管理者ユーザーを確認することもできます。認識していない疑わしいユーザーを削除し、適切な方法ですべての管理者アカウントのパスワードを変更します。管理者パネルにさらに強化を加えることも賢明です。

ファイアウォールのユーザーは、これらの脆弱性から保護されています。ただし、特にセキュリティの問題が存在するような場合は、常に古いプラグインを最新バージョンに更新することをお勧めします。

独立行政法人情報処理推進機構(IPA)
重要なセキュリティ情報一覧
https://www.ipa.go.jp/security/announce/alert.html

Print Friendly, PDF & Email