広く利用されているコンテンツマネジメントシステム(CMS)Joomla! に、コアのリモートコード実行の脆弱性(CVE-2015-8562)が存在することが、最近発見されました。この脆弱性の影響を受けるのは、3.4.6 より前のあらゆるバージョンの Joomla! で、最新バージョンに更新すれば、この脆弱性にはパッチが適用されます。しかし、まだパッチが適用されない脆弱性も多数存在しており、攻撃者がさかんに脆弱なサーバーをスキャンして攻撃を仕掛けていることをシマンテックは確認しています。
Joomla! は、ダウンロード数が 5,000 万を超えるほど広く利用されている CMS で、人気の高い Web サイトでも使われているため、この脆弱性は多くのユーザーをリスクにさらす可能性があることになります。たとえば、攻撃者はこの脆弱性を悪用してサーバー上でコマンドを実行し、Web サイトやデータベースの内容を改変したり、サーバーにマルウェアを仕掛けたり、さらには訪問者を他の悪質な Web サイトにリダイレクトすることまで可能になります。
攻撃者が脆弱なサーバーを発見し悪用する手順
悪用コードの展開は比較的容易で、それほどのスキルを必要としません。必要なのは、HTTP 要求ひとつだけです。シマンテックの遠隔測定によると、攻撃者が脆弱なバージョンの Joomla! をスキャンするときの手法は、最近のブログでお伝えした、vBulletin プラットフォームの RCE 脆弱性に似ています。攻撃者は、脆弱なバージョンの Joomla! が稼働しているサーバーをスキャンするために、phpinfo() 関数を呼び出そうとするか、所定の値の MD5 を出力しようとします。vBulletin の RCE 悪用攻撃の場合と同様、攻撃者は後から悪用できるように、脆弱な Web サーバーをスキャンして記録しているようです。
攻撃者がこれをどう実行しているのか、調べてみることにしましょう。
攻撃者が用いる手法のひとつでは、狙ったサーバーが脆弱であれば、サーバーから送信される応答で 233333 という値の MD5 ハッシュが出力されます。
図 1. サーバーの応答で出力される MD5 ハッシュ
もうひとつの手法では、eval(char()) 関数の実行を試み、その応答で die(pi()); からの出力があるかどうかを待ちます。この応答が返ってくれば、攻撃者はそのサーバーが脆弱であると判断できます。
図 2. eval(char()) 関数からのサーバー応答
システム管理者は、潜在的な攻撃指標(IoA)または侵害指標(IoC)として、上述の手口を探せばいいことになります。Web アクセスログを調べてこうした要求を探し、もし見つかった場合には、その作成時刻と、サーバーにパッチが適用された時刻を比較すれば、システムが侵入を受けた可能性があるかどうかを判定できます。
悪質なスクリプトのインジェクション
システムに脆弱性があるとわかれば、攻撃者は本格的な攻撃を始められます。バックドアをインストールし、攻撃者が侵入先のコンピュータにフルアクセスできるようにするのが一般的な手口です。
図 3 に示した部分的なコードは、脆弱な Joomla! サーバーに対して使われたエンコード済みの PHP バックドアの一部です。サーバーでバックドアが確立されると、攻撃者はコマンドを実行し、サーバーにホストされている Web サイトを改変したり、ファイルを任意にアップロードまたはダウンロードしたりできるようになります。
図 3. 脆弱なサーバーで使われるバックドアのコードの一部
侵入したサーバーの悪用
Joomla! は、人気のある Web サイトで CMS ソフトウェアとして広く使われているので、そうしたサイトを運用しているサーバーに侵入できれば、サイトの訪問者も攻撃できることをサイバー犯罪者は承知しています。侵入を受けたサーバーは、いろいろと悪質な活動に利用されます。シマンテックが確認しているだけでも、感染したたくさんのサーバーが、訪問者を悪用ツールキットにリダイレクトするために使われており、マルウェアのホスティングに使われている可能性もあります。
以前にも確認したとおり、侵入したサーバーをアンダーグラウンドで売買や貸借の対象にするという選択肢もあります。分散サービス拒否(DDoS)攻撃などの不正な活動に利用するためです。それだけでなく、侵入先のサーバーから情報を盗み出すことができれば、それは犯罪の世界で貴重な商品になります。
Joomla! の RCE 脆弱性が見つかって以来、脆弱なバージョンの Joomla! が稼働しているサーバーがさかんにスキャンされています。実際に攻撃を受けている件数も多く、平均すると、脆弱な Joomla! サーバーで 1 日あたり 16,600 件の攻撃が検出されています。
図 4. 脆弱な Joomla! サーバーに対する攻撃件数
対処方法
Joomla!(バージョン 1.5 から 3.4)を使っている Web サイトは、いずれもこの攻撃に対して脆弱です。管理者は、Joomla! をできるだけ速やかに最新バージョンにアップグレードしてください。サポートが終了しているバージョンの Joomla! については、この脆弱性にパッチを適用するセキュリティホットフィックスを利用できます。
サーバーのインストールに関するセキュリティ上のヒントやベストプラクティスは、OWASP の「PHP Security Cheat Sheet(PHP セキュリティ早見表)」(英語)が参考になります。
そのほか、管理者は安全のために以下のベストプラクティスにも従うことをお勧めします。
- セキュリティソフトウェアを含め、他のソフトウェアもすべて最新の状態に保つ。
- 重要なデータは必ず頻繁に、かつ何重かでバックアップを作成する。
- ログを監視し、脅威が見つかった場合にはただちに対処する。
- パスワードはけっして平文で保存しない。
保護対策
ノートン セキュリティ、Symantec Endpoint Protection をはじめとするシマンテックのセキュリティ製品をお使いであれば、この脅威からは以下の検出定義で保護されます。
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】