Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Tomcat」の脆弱なPWを破って拡散するワーム - シマンテックが確認

シマンテックは、「Apache Tomcat」が稼働するサーバに感染するバックドア型のワームを確認したことを明らかにした。

今回同社が確認したのは「Apache Tomcat」上で「Javaサーブレット」のように動作するバックドア型のワーム「Java.Tomdep」。同社顧客より感染報告が寄せられており、感染の発生地域は限られているものの、すでに日本国内でも被害が発生しているという。

同ワームが実行された場合、ページは生成せずにIRCサーバに接続。IRCボットのように振る舞い、攻撃者が送信したコマンドを実行する。コマンド&コントロールサーバは、台湾とルクセンブルクに設置されていた。

外部のコマンド操作により、ファイルのダウンロードやアップロード、新規プロセスの作成、SOCKSプロキシ、UDPフラッド、ワーム自身の更新などが可能。さらにApache Tomcatが稼働する別のサーバを探しだし、ユーザー名とパスワードの辞書を用いてログインを試行し、感染を拡大する。

ウェブサーバの訪問者に対する感染活動などは行われておらず、同社は今回の攻撃について、侵入したサーバからDDoS攻撃を行うことが目的である可能性が高いと分析している。

同社は、同ワームの感染を防止するため、サーバにパッチを適用し、セキュリティ対策ソフトについても最新の状態に更新するよう呼びかけるとともに、脆弱なパスワードを避け、管理ポートを外部へ開放しないよう注意を喚起している。

(Security NEXT - 2013/11/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

本人確認記録書が所在不明、一部店舗では誤廃棄を確認 - みちのく銀
注意喚起で掲載した架空請求ハガキに個人情報 - マスキング不十分で
米政府、北朝鮮関与攻撃グループに経済制裁措置
リコー製プリンタや複合機に複数のRCE脆弱性 - アップデートがリリース
顧客情報最大6.7万件が保存されたPCを紛失 - ゼットン
「SSL VPN」の脆弱性探索行為、国内でも観測
2019年上半期の「ファイルレス」攻撃、前年同期比3.6倍に
北朝鮮関与「HIDDEN COBRA」のツールに新亜種 - 米政府が情報公開
要件定義のノウハウまとめたIPA資料に改訂版 - 成功事例も
半数が「スマホ決済」の不正利用に不安 - ネガティブイメージ先行