「Apache Tomcat」の脆弱なPWを破って拡散するワーム - シマンテックが確認
シマンテックは、「Apache Tomcat」が稼働するサーバに感染するバックドア型のワームを確認したことを明らかにした。
今回同社が確認したのは「Apache Tomcat」上で「Javaサーブレット」のように動作するバックドア型のワーム「Java.Tomdep」。同社顧客より感染報告が寄せられており、感染の発生地域は限られているものの、すでに日本国内でも被害が発生しているという。
同ワームが実行された場合、ページは生成せずにIRCサーバに接続。IRCボットのように振る舞い、攻撃者が送信したコマンドを実行する。コマンド&コントロールサーバは、台湾とルクセンブルクに設置されていた。
外部のコマンド操作により、ファイルのダウンロードやアップロード、新規プロセスの作成、SOCKSプロキシ、UDPフラッド、ワーム自身の更新などが可能。さらにApache Tomcatが稼働する別のサーバを探しだし、ユーザー名とパスワードの辞書を用いてログインを試行し、感染を拡大する。
ウェブサーバの訪問者に対する感染活動などは行われておらず、同社は今回の攻撃について、侵入したサーバからDDoS攻撃を行うことが目的である可能性が高いと分析している。
同社は、同ワームの感染を防止するため、サーバにパッチを適用し、セキュリティ対策ソフトについても最新の状態に更新するよう呼びかけるとともに、脆弱なパスワードを避け、管理ポートを外部へ開放しないよう注意を喚起している。
(Security NEXT - 2013/11/22 )
ツイート
関連リンク
PR
関連記事
「Firefox」にゼロデイ脆弱性 - 緊急アップデートが公開
「VMware NSX」に複数の脆弱性 - アップデートが公開
セキュリティビジネス振興に対する意見や情報を募集 - 経産省
「クリティカル」含む脆弱性8件をアップデートで修正 - GitLab
Palo Altoの移行ツールに脆弱性 - ファイアウォールの認証情報などが漏洩するおそれ
IvantiやFortinetの脆弱性狙う攻撃に注意喚起 - 米当局
団体名簿を誤送信、メアド入力ミスで - 川崎市社会福祉協議会
Windows向け「Apple TV」アプリに脆弱性 - システム停止のおそれ
ネットワークに不正アクセス、一部サービスに影響 - カシオ
米当局、「Windows」や「Qualcomm」チップの脆弱性狙う攻撃に注意喚起