CVE-2023-4634 検出: WordPress Media Library Assistant プラグインにおける認証されていないRCE脆弱性

セキュリティ研究者は、CVE-2023-4634として指定された重要な脆弱性について厳しい警告を発し、世界中で70,000以上のWordPressサイトに影響を及ぼしているとしています。この脆弱性は、WordPressコミュニティ内で非常に人気があり広く使用されているWordPress Media Library Assistantプラグインのセキュリティ欠陥に由来します。この脆弱性はすでに実際に悪用されており、概念実証のエクスプロイトが容易に利用可能であることから、攻撃がさらに激化し、WordPressエコシステム全体に広がるリスクが一層懸念されます。

CVE-2023-4634のエクスプロイト試行の検出

脆弱性のエクスプロイトを積極的に検出すること は、人気のあるソフトウェアに影響を与えるCVEの数が増え続けているため、トップのセキュリティユースケースの一つであり、このような製品を利用する組織に深刻な課題をもたらし、防御者の注意を必要とします。新たに発見されたWordPressのセキュリティバグであるCVE-2023-4634は、GitHubでのPoCエクスプロイトの公開により注目を集めています。SOC Primeは、防御者に最速のセキュリティニュースフィードを提供し、進歩的な組織に最新の検出コンテンツを提供して、攻撃の痕跡をタイムリーに特定できるように支援します。

セキュリティチームがCVE-2023-4634のエクスプロイト試行を積極的に検出できるよう支援するため、SOC Primeプラットフォームは、WordPressユーザーに影響を与える脅威の増加に対応して新しいSigmaルールを最近リリースしました。熱心なThreat Bounty開発者によって書かれた専用のSigmaルールをこちらからご覧ください ムスタファ・グルカン・カラカヤ:

WordPress Media Library Assistantにおける未認証リモートコード実行[CVE-2023-4634]の脆弱性エクスプロイト試行（ウェブサーバー経由）

このSigmaルールは、悪意のあるペイロードを送信することでWordPress Media Library Assistantにおける未認証RCEエクスプロイトの可能性を検出します。この検出コードは、18のSIEM、EDR、XDR、およびデータレイク技術に瞬時に変換可能で、 MITRE ATT&CK®フレームワークのレパートリーの中から、初期アクセス戦術および公開されたアプリケーションのエクスプロイト技術（T1190）に対応しています。

有望な検出エンジニアは、群衆ソースの Threat Bounty Programに参加して、SigmaとATT&CKのスキルを磨くことができます。検出コードのスキルを磨いてエンジニアリングキャリアを進めつつ、業界の専門知識を豊かにし、貢献に応じた報酬を得られます。

CVEの検出に対するSigmaルールのコレクション全体を閲覧し、関連する脅威インテリジェンスに飛び込むには、下の 探索検出 ボタンをクリックしてください。

探索検出

CVE-2023-463解析

ワードプレスのコンテンツ管理システム（CMS）としての広範な人気を考慮すると、数百万のウェブサイトが世界中で依存しており、メディアライブラリアシスタントプラグインのような脆弱性は世界中の組織に重要なリスクをもたらします。攻撃者は、危殆化したWordPressサイトを組織ネットワークへの入口として利用して、他の悪意のある活動を進めたり、影響を受けたサイトをマルウェアの拡散やフィッシング攻撃のための発射台として使用する可能性があります。

注目されている脆弱性は、画像処理中に発生するファイルパスの不十分な制御から生じる未認証リモートコード実行（RCE）問題であり、Imagickを介して発生します。これにより、対抗者はFTPを介してファイルを供給し、ローカルファイルの追加やリモートコードの実行を可能にします。この条件下では、攻撃者は未修正のWordPressサイトを掌握する可能性があります。

この脆弱性はMedia Library Assistantプラグインの3.10以前のバージョンに影響を及ぼし、Imagickライブラリがインストールされたサーバーがエクスプロイトされるためには必要です。成功する攻撃には、Imagickがデフォルトの構成に依存する必要があります。ウェブサイト管理者には、できるだけ早くWordPressダッシュボードからセキュリティパッチをインストールするよう強く促します。

この問題は、Patrowlのセキュリティ専門家によって発見され、すでにセキュリティ欠陥を説明する 詳細な報告 がリリースされ、リスクレベルの理解を促進します。 PoC ますます増えているCVEが実際に悪用されている状況において、エクスプロイト試行の積極的検出はサイバー回復力を高めようとする組織にとって重要です。SOC Primeはセキュリティチームに

With the growing volumes of CVEs actively exploited in the wild, proactive detection of exploitation attempts is critical for organizations striving to boost their cyber resilience. SOC Prime equips security teams with Uncoder AIを提供し、単一のIDEでDetection Engineeringを行い、より少ない労力で完璧な検出コードを記述し、プライバシーを完全に確保するオールインワン製品を利用して64のクエリ言語に自動的に変換します。 — using an all-in-one product that ensures complete privacy.