Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Welcartの脆弱性

WordPressの専用ショッピングカートとして国内No.1実績を誇るWelcartの脆弱性が報じられています。CVEはIDが保留中ですが、7.5(High)の脆弱性として評価が付く可能性が高そうです。Welcartのパッチ(1.9.36)は10/20に出ている様ですので、WelcartユーザーはWordPressプラグイン更新を早期に実施する事が必要かと思います。
threatpost.com

 

元ソース(Wordfence)

 

公式発表(Welcart)

 

f:id:foxcafelate:20201108054724p:plain



キタきつねの所感

Welcartは国内初のWordPress用のeコマースプラグインで、ダウンロード数30万以上、26,493のアクティブサイトで使われており、日本でトップシェアを誇ります。EC-CUBEが確か推定3.5万ユーザーだったかと思いますので、国内では非常に人気の高いWordPress向け無料プラグインと言えるかと思います。

 

今回の脆弱性を発見したWordfenceは、WordPressのセキュリティプラグインを提供する会社でWebサイトのハッキングやマルウェアからの保護の機能を提供しています。

今回の脆弱性報告については、Welcart側は非常に運が良かった気がします。ホワイトハッカーでは無く、ブラックハッカー側が先にこのバグを発見していたとすれば、(他のWordPress脆弱性も併用して)日本のWelcartサイトを狙った大規模な攻撃キャンペーンが発生していたとしても不思議ではありません。

Wordfenceは10月6日に脆弱性を発見し、10/9にWelcart開発元(Collne)に告知し、脆弱性に対応したパッチ(1.9.36)が10/20にリリースされていますので、Welcartユーザーは早期のプラグインアップデートが重要かと思います。

※既にWordfence社はFWルール対応済としていますので、何らかの事情があってパッチ更新を出来ないユーザーはWordfence社のサービスを導入する事も有効かと思います。

 

よく見ると、研究者は、usces_cookieパラメーターを特別に細工された文字列に設定してリクエストを送信できることを発見しました。この文字列は、シリアル化されていない場合、PHPオブジェクトを挿入します。

PHPオブジェクトインジェクションは、コードインジェクション、SQLインジェクションパストラバーサル、およびアプリケーションのサービス拒否への道を開くアプリケーションレベルの脆弱性です。

OSWAPによると、「この脆弱性は、ユーザーが指定した入力がunserialize()PHP関数に渡される前に適切にサニタイズされていない場合に発生します」。「PHPではオブジェクトのシリアル化が許可されているため、攻撃者はアドホックなシリアル化された文字列を脆弱なunserialize()呼び出しに渡し、アプリケーションスコープに任意のPHPオブジェクトを挿入する可能性があります。」

PHPオブジェクトインジェクションは、攻撃者がマジックメソッドと呼ばれる方法を利用できるようにする、より大きなエクスプロイトチェーンで使用されることがよくあります。これにより、リモートでコードが実行され、サイトが完全に乗っ取られる可能性があります。幸いなことに、ここではそうではありません。

 (threatpost記事より引用)※機械翻訳

 

元ソースを読む限りでは、WelcartはWordPressとは別なCookieを使用していて、このCookieサニタイズ(無害化)の脆弱性があり、PHPオブジェクトインジェクションの可能性があった様です。しかし、この脆弱性は危険な追加攻撃(マジックメソッド)までは至らなかった様です。併せて、WordPress側の脆弱性(緊急パッチ5.5.3)の影響も無かったと分析されています。

 

CVE7.5(高)というスコアから考えると、Welcartユーザーはこの脆弱性(パッチ当て)を放置していると、将来を含めた別な脆弱性が出た際に、この脆弱性が悪用されてマジックメソッドの様な、リモートコード実施、あるいはサイト乗っ取り(※当然の事ながらカード情報や顧客の個人情報漏えいに繋がります)に発展してしまう可能性もありますので、1.9.36のパッチを早期に当てる事が重要かと思います。

 

 

余談です。Welcartのリリースノートが・・・シンプルすぎる印象です。必要最低限の事は書かれていますが。。。

私は、今回の様な高脆弱性(CVSS 7.5)において、パッチを当てろと開発元が言わない事は問題だと思います。

f:id:foxcafelate:20201108064730p:plain

 

因みに、threatpostや脆弱性を発見したwordfenceの英語記事でも、サイト管理者は、できるだけ早くアップグレードする必要があります。「でるだけ早く最新バージョン1.9.36に更新することを強くお勧めします。」と明記しています。 

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ショッピングカートを押している女性のイラスト

 

更新履歴

  • 2020年11月6日 AM