WordPressセキュリティ企業Wordfenceは2025年10月8~9日(現地時間)にかけ、WordPressの「GutenKit」と「Hunk Companion」の任意プラグイン導入脆弱性を悪用する攻撃が再び大規模化しました。
これらの不備は、未認証の第三者がREST API経由で任意のプラグインをサイトにインストール・有効化できるというもので、遠隔からの任意コード実行(RCE)に直結します。防御側の観測では、公開以来の攻撃試行が累計で8,755,000件以上ブロックされており、1年越しにパッチ未適用のサイトを執拗に狙う現実が浮かび上がりました。
目次
影響バージョンと修正バージョン─最低限ここまで上げる
影響範囲はGutenKitが2.1.0以下、Hunk Companionが1.8.5以下です。
いずれも認可チェック欠落が根因で、修正はREST APIの権限判定強化を含みます。実運用では、GutenKitは「2.1.1」、Hunk Companionは「1.9.0」への更新が最低ラインになります。ファイアウォールルールによる仮防御が入っている環境でも、サイト機能の正常性と将来の保守を考えると、プラグインそのものの更新は不可欠です。
パッチ適用の遅れが最大の攻撃面
今回の連続攻撃は、1年前に公開済みの欠陥に対し、未更新サイトを面的に探索・侵入する流れが続いていることを明確に示しました。REST APIの認可漏れは設計上の初歩的な不備であり、アップデートで容易に塞げる一方、実運用では更新の後回しやテスト不足が原因で開いたままになりがちです。
管理者はGutenKitを2.1.1以降、Hunk Companionを1.9.0以降へ即時更新し、ログとプラグイン配下の実体検査を徹底してください。バックドアやファイルマネージャが複数同梱されている前提で、早期の隔離・清掃・アカウントと設定の総点検まで一気通貫で実施することが、最短での復旧と再侵入防止につながります。
問題の中身─「認可なし」のREST APIが入口に
GutenKitの不備(CVE-2024-9234、CVSS 9.8)は、gutenkit/v1/install-active-plugin エンドポイントの登録時に permission_callback が __return_true に設定されていたことが原因です。
これにより権限チェックが機能せず、未認証のPOSTで外部URLからZIPを取得し、wp-content/plugins へ展開・有効化する処理がそのまま通っていました。
実装上は install_and_activate_plugin_from_external() がダウンロード・展開・有効化まで一気通貫で実施し、攻撃者は偽装プラグインをアップロードするだけで持続的なバックドアを埋め込めます。
Hunk Companionの不備(CVE-2024-9707/11972、いずれもCVSS 9.8)も同様で、hc/v1/themehunk-import エンドポイントの permission_callback が __return_true となっており、未認証でプラグイン導入・有効化が可能でした。CVE-2024-11972は先行CVEへのバイパスとして報告され、同一の設計上の欠陥が長く残存していた点が指摘されています。
攻撃はこう始まる─実際のリクエストと偽装プラグインの中身
観測されたGutenKit狙いの例では、攻撃者は以下のようなJSONをPOSTしていました。
ZIPには、既存人気プラグインのヘッダを騙るスクリプトや、base64エンコードされたファイルマネージャ、権限変更やアップロード・削除を行う機能、ディレクトリ丸ごとのZIP化・ダウンロード機能などが複数同梱されています。
vv.php のようにPDFヘッダで始まる偽装ファイルも確認され、解凍後に可逆処理で本体を展開する仕掛けです。大規模改ざん、ファイル操作、ネットワークスニッフィング、端末上でのターミナル提供、追加マルウェア導入といった機能が段階的に有効化され、バックドアを多重化することで持続性が高められていました。
Hunk CompanionへのPOSTでは、WordPress.org上の別プラグインを指名して導入させ、その後段で既知の未修正RCE脆弱性を突く踏み台化の狙いも見られました。たとえば wp-query-console を投入した上で、当該プラグインの未修整欠陥を連鎖悪用する動きが観測されています。
攻撃の波は1年後に再来─遮断件数と多拠点からの集中
これらの欠陥は2024年秋に公表されましたが、2025年10月8~9日にかけて再び大規模な探索・悪用が観測されました。
防御側は累計で8,755,000件以上の攻撃試行を遮断しており、特定のアドレス群から十万件規模のPOSTが繰り返されています。
たとえばGutenKit狙いでは 13.218.47.110(約82,900件)、3.10.141.23(約82,400件)などが目立ち、Hunk Companion狙いでは 3.141.28.47(約349,900件)、119.34.179.21(約300,600件)などが上位に並びました。IPv4/IPv6双方からの試行が継続し、時間帯を分散しつつ脆弱サイトを刈り取る戦術が取られています。
ログからたどる侵入痕──RESTパス、IP群、ZIPの置き場所
運用者が真っ先に確認すべきはWebサーバのアクセスログです。以下のRESTパスへのPOSTがあれば、詳細突合の対象になります。
-
/wp-json/gutenkit/v1/install-active-plugin -
/wp-json/hc/v1/themehunk-import
併せて、13.218.47.110、3.141.28.47、119.34.179.21 など大量投下元として観測されたアドレス群からのアクセス有無を洗い、時刻相関でファイル生成を追跡します。
ZIPの取得元としては ls.fatec[.]info、dari-slideshow[.]ru、zarjavelli[.]ru、korobushkin[.]ru、drschischka[.]at、dpaxt[.]io、cta.imasync[.]com、catbox[.]moe などが挙げられ、/wp-content/plugins や /wp-content/upgrade 配下に見慣れないディレクトリ(例:up、background-image-cropper、ultra-seo-processor-wp、oke)がないか念入りに点検してください。これらは見た目はプラグインの形態で配置され、複数のバックドアやファイルマネージャ、シェルを同梱することが一般的です。
サイトが侵害された場合に起きること─多重バックドアと連鎖悪用
侵入後は、管理者への自動ログインを可能にする偽装スクリプトの配置、バックドアの重複設置、ファイル閲覧・権限変更・アップロード・フォルダ圧縮の遠隔操作、追加マルウェアの展開などが並行して進みます。Hunk Companion経由では、まず導入可能な正規プラグインを紐付け・導入し、そのプラグイン側の未修正RCEを踏み台にする二段構えが観測されています。単一の入り口を塞いでも、別の不備へと連鎖する設計で、清掃作業では最初に入ってきたZIPの中身をすべて洗い、横展開の形跡を確実に消すことが欠かせません。
いますぐできる対処──更新、スキャン、監査、そして隔離
運用者はまずプラグインを最新へ更新し、plugins と upgrade ディレクトリをフルスキャンします。アクセスログで前述RESTパスと大量POST元IPを突合し、設置物のタイムスタンプと一致する通信がないかを追います。バックドア疑いのPHPファイルは隔離し、wp-config.phpや管理者アカウントの改変・追加の有無、スケジュールイベントやMUプラグイン、ドロッパの常駐処理を併せて点検します。WAF側では該当RESTパスの未認証POSTを遮断し、管理系RESTを管理者セッション・署名付きリクエストのみに限定するルールの常設が有効です。
出典
Mass Exploit Campaign Targeting Arbitrary Plugin Installation Vulnerabilities








