Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱な「Drupal」サイトをボット化、仮想通貨発掘させる攻撃が発生

コンテンツマネジメントシステム(CMS)である「Drupal」に深刻な脆弱性「CVE-2018-7602」が見つかった問題で、同脆弱性を利用してサーバをボット化する攻撃が確認された。

「Drupal」に関しては、影響が大きく「Drupalgeddon 2.0」といった異名も持つ「CVE-2018-7600」が3月に判明しているが、同脆弱性と関連し、悪用されるリスクが高い脆弱性として4月末のゴールデンウィーク直前に修正されたのが、今回の攻撃対象となった「CVE-2018-7602」。悪用されるとリモートよりコードを実行されるおそれがある。

今回、同脆弱性に対する攻撃をトレンドマイクロが確認したもので、同脆弱性を悪用して、ダウンローダを一定のスケジュールで実行するよう「crontab」に追加してサーバをボット化。仮想通貨「Monero」を発掘させるオープンソースのコインマイナーをインストールさせようとしていた。

また攻撃にあたり、事前に「Tor」ネットワーク経由で脆弱性が存在するか確認する特徴が見られたという。あくまで「Tor」の出口ノードであるため、関連性はあきらかでないが、同社では同じIPアドレスを発信元とした攻撃を繰り返し観測しているという。

5 月中旬からの1カ月間で攻撃は800回以上にのぼっており、「Heartbleed」として知られる「OpenSSL」の脆弱性「CVE-2014-0160」や、「ShellShock」の脆弱性「CVE-2017-5674」などをはじめ、ウェブサーバの脆弱性に対する攻撃やSSHに対するブルートフォース攻撃なども観測しているという。

同社は、「CVE-2018-7602」はコインマイナーのインストールだけではなく、広く悪用されるおそれがあると指摘。「Drupal」をアップデートし、脆弱性を解消するよう呼びかけている。

(Security NEXT - 2018/06/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Amazon FreeRTOS」の複数脆弱性、詳細公表される - コード実行やDoSのおそれ
IoT向け組込OS「AWS FreeRTOS」に複数脆弱性 - コード実行のおそれ
「Symfony」のフォームコンポーネントに脆弱性 - アップデートがリリース
「Adobe Acrobat/Reader」のアップデート、12月11日にリリース予定
ウェブフィルタリング製品「i-FILTER」に複数脆弱性
Apple、「iOS 12.1.1」をリリース - 脆弱性20件を修正
オムロンの制御機器向けツールパッケージに複数脆弱性
「Chrome 71」がリリース、脆弱性など43件を修正 - 不正広告対策も
再び「Adobe Flash Player」が緊急アップデート - すでに脆弱性の悪用コード流通
Tenable製ツール用いたSaaS型のウェブアプリ脆弱性診断サービス