WordPress の XML-RPC 機能の実装に起因する DoS の脆弱性(Scan Tech Report)
WordPress の XML-RPC 機能にサービス運用妨害 (DoS) が発生する脆弱性が報告されています。
脆弱性と脅威
エクスプロイト
WordPress の XML-RPC 機能にサービス運用妨害 (DoS) が発生する脆弱性が報告されています。
悪意あるリモートの第三者に利用された場合、CPU リソースやシステムメモリを大量消費させ、システムの正常な動作が妨害される可能性があります。
脆弱性を悪用された場合の影響度が高いため、影響を受けるバージョンの WordPress を利用するユーザは可能な限り以下の対策を実施することを推奨します。
2.深刻度(CVSS)
5.0
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-5265&vector=%28AV:N/AC:L/Au:N/C:N/I:N/A:P%29
3.影響を受けるソフトウェア
WordPress 1.5 - 3.7.3/3.8.3/3.9.1
※1 Drupal 6.x/7.x もこの脆弱性の影響を受けることが報告されています。
詳細につきましては、関連情報の SA-CORE-2014-004 を参照ください。
4.解説
XML-RPC は、XML を利用して Remote Procedure Call (RPC) 実行するためのプロトコルであり、SOAP の基となった技術です。
WordPress では、XML-RPC をサポート※2 しており、XML-RPC 機能により外部からの記事投稿や編集、Pingback などが可能となります。XML-RPC 機能は、Wordpress 3.5 以降のバージョンより、既定で有効になっています。
WordPress には、Incutio XML-RPC ライブラリ (class-IXR.php)※3 におけるXML データの処理に不備があります。
このため、実体宣言の中で過度に長い文字列を定義した実体を繰り返し参照 (実体参照) する不正な XML データを処理した場合に、CPU リソースおよびシステムメモリを大量に消費してしまう脆弱性が存在します。
この脆弱性を利用することで、リモートの攻撃者は、上記 XML データを含むXML-RPC リクエストを介して WordPress を利用するシステムのパフォーマンスを低下させ、システムをサービス不能状態にする可能性があります。
また、WordPress の XML-RPC 機能には、2014 年 3 月に Pingback を悪用した大規模な DDoS 攻撃が Sucuri 社から報告※4 されています。
この問題は、正規の機能を悪用しているため、セキュリティアップデートだけでは防ぐことができなく、Pingback 機能の無効化やアクセス制限などの対応が必要となります。
※2 http://codex.wordpress.org/XML-RPC_Support
※3 http://scripts.incutio.com/xmlrpc/
※4 http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html
5.対策
以下の Web サイトより WordPress 3.7.4/3.8.4/3.9.2 以降を入手し、該当のバージョンにアップデートすることで、この脆弱性を解消することが可能です。
WordPress 3.7.4/3.8.4/3.9.2:
http://wordpress.org/download/release-archive/
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
-
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]
Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能(AI)を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。
-
Non State Actor 図鑑(4)世界 2 位は GDP だけではない ~ QAnon 帝国ドイツ
新しい暴力の形としてノン・ステート・ウォーが増えている。ハッキングやデジタル影響工作など新しい攻撃方法が幅広く用いられており、全領域での戦いとなっている。そして、戦闘の担い手の多くは民間企業である。日本も例外ではない。日本は軍事に関しては敏感だがそれ以外は寛容だ。
-
ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向
日本で監視カメラや CCTV と言えば、要監視施設等に設置してそれを録画して、何かあったら再生するという、インターネットもパソコン通信もなかった時代のスタンドアロン PC のような貧しい使い方しか想像力が及ばない。しかし中国や合衆国のような、治安維持のための人権制限を合法とする国では、街頭や交通機関、店舗、オフィスなど都市の至る所に設置した画像を XDR や SOC のように集積し、かなりドラスティックな解析を行う。