eコマースにゼロデイ
eコマースの需要はますます高まっていると思います。
いろいろな方法でeコマースサイトの実現が可能ですが、人気の実現方法のひとつに、WordPressにプラグインを組み合わせてそれを実現する方法があります。
そういうプラグインのひとつにSQLインジェクションのゼロデイが確認されています。
このバグにより、認証されていないサイバー攻撃者が、顧客データや支払いカード情報から従業員の資格情報まで、オンラインストアのデータベースからの大量の情報を利用できるようになる可能性があります。
今回確認されているプラグインは「WooCommerce」というものです。
ググると使い方を解説したサイトがたくさん出てきます。
これを使うと、WordPressのウェブサイトなら、簡単にショッピングカートの機能を追加し、ネットショップへ変身させられます。
基本無料で使えますし、実際設置も簡単なので、多くの場所で使われています。
世界中で500万を超えるWebサイトにインストールされています。
そんなプラグインに今回のゼロデイが確認されているわけですから、インパクトはかなり大きいといえます。
このWooCommerceは、さらに細かないくつかの機能の集合体となっているのですが、今回の対象部分はWooCommerceBlocksという機能部分です。
この機能を適用しているサイトで対策済みのバージョンになっていない場合が危険な状態です。
この部分は独立したプラグインになっているのですが、この部分を利用しているサイトは20万を超えています。
このゼロデイですが、研究者がPoC(Proof of Conceptの略で、「概念実証」です)ができているのですが、その詳細はまだ公開していません。
しかしすでに実際の活動と思われるものが確認されています。
もし自分の関連するサイトでこのプラグインを使っている場合には、まず最新の状態で利用できていることを確認してください。
この問題が悪用されていたかを確認する場合にはログファイルの確認である程度推測ができるようです。
次のようなものが多数繰り返されているかを確認してください。
- /wp-json/wc/store/products/collection-data
- ?rest_route=/wc/store/products/collection-data
- %2525を含むクエリ文字列(「%25」は「%」の文字をURLエンコードしたものです)
この脆弱性がサイトで悪用された可能性があることを示すログがある場合には、より詳細な調査を実施するほうがよいかもしれません。
いろいろなツールが公開されていますので簡単に便利な状態を作ることができますが、それはそれだけ注意して運用する必要があることを示していると考えるほうがよいかもしれません。
参考記事(外部リンク):Zero-Day Attacks on Critical WooCommerce Bug Threaten
Databases
threatpost.com/zero-day-attacks-woocommerce-databases/167846/
