「bash」の脆弱性狙う攻撃が継続中 - 「Webmin」もターゲットに

デフォルトシェルとして広く利用されている「bash」に、深刻な脆弱性が見つかった問題で、警察庁は引き続き攻撃を観測しているとして注意を呼びかけている。

同庁によれば、9月25日以降、いわゆる「ShellShock攻撃」を継続的に確認しており、さらに攻撃の傾向にも変化が見られるという。

発覚直後は、脆弱性の探索行為も目立ったが、同月29日以降のアクセスは、攻撃を試行したと見られるアクセスが中心となった。また10月に入り、一時小康状態となったが、同月4日から再びまとまった攻撃を観測している。

攻撃の宛先ポート（グラフ：警察庁）

攻撃対象となっているのは、ウェブサーバで稼働するCGI。攻撃手法としては、ユーザーエージェントやホストなどの環境変数に対するコードインジェクション攻撃だった。

攻撃を通じてOSの情報を取得したり、外部から不正プログラムをダウンロードさせようとしており、不正プログラムは、外部からの指令によってDoS攻撃を実行するようプログラムされていた。

さらにNASの管理画面も狙われており、こうしたNASへのアクセスは、バックドアの設置を試みたものだという。

攻撃対象のポートにもその傾向があらわれている。ウェブサイトの閲覧に使われる80番ポートのほか、NASで利用されることも多い8080番ポートに対するアクセスも目立つ。

さらにサーバ管理ツール「Webmin」を利用している場合も注意が必要だ。9月末より、「Webmin」がデフォルトで利用する10000番ポートを対象とした攻撃が確認されているが、10月に入ってから急増したという。

（Security NEXT - 2014/10/08 ）ツイート