Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Tomcat」の脆弱なPWを破って拡散するワーム - シマンテックが確認

シマンテックは、「Apache Tomcat」が稼働するサーバに感染するバックドア型のワームを確認したことを明らかにした。

今回同社が確認したのは「Apache Tomcat」上で「Javaサーブレット」のように動作するバックドア型のワーム「Java.Tomdep」。同社顧客より感染報告が寄せられており、感染の発生地域は限られているものの、すでに日本国内でも被害が発生しているという。

同ワームが実行された場合、ページは生成せずにIRCサーバに接続。IRCボットのように振る舞い、攻撃者が送信したコマンドを実行する。コマンド&コントロールサーバは、台湾とルクセンブルクに設置されていた。

外部のコマンド操作により、ファイルのダウンロードやアップロード、新規プロセスの作成、SOCKSプロキシ、UDPフラッド、ワーム自身の更新などが可能。さらにApache Tomcatが稼働する別のサーバを探しだし、ユーザー名とパスワードの辞書を用いてログインを試行し、感染を拡大する。

ウェブサーバの訪問者に対する感染活動などは行われておらず、同社は今回の攻撃について、侵入したサーバからDDoS攻撃を行うことが目的である可能性が高いと分析している。

同社は、同ワームの感染を防止するため、サーバにパッチを適用し、セキュリティ対策ソフトについても最新の状態に更新するよう呼びかけるとともに、脆弱なパスワードを避け、管理ポートを外部へ開放しないよう注意を喚起している。

(Security NEXT - 2013/11/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

SIEM製品に新版 - 侵害痕跡の分析も対象に - Dell EMC
顧客宛ての送付書類に電話番号を誤記載 - 大阪市水道局
新元号到来をCTFで迎える「令和CTF」が緊急開催
従業員情報を議員に漏洩、後援会入会の礼状届く - JA北海道厚生連
セキュリティ相談24.4%減 - 「偽警告」関連の相談は増加
2店舗の顧客情報1.4万件含むUSBメモリを紛失 - ライフ
「Active! zone」にサンドボックスオプション - PW付きファイルにも対応
ESETにEDR製品が追加 - クラウド型サンドボックスも提供
GW企画の案内メールで送信ミス - 東天紅
中学校で生徒情報含む資料が所在不明 - 大泉町