コインマイナー埋込狙う「Drupal」への脆弱性攻撃が発生 - 当初の一部緩和策に誤りも
直近の攻撃では、脆弱なウェブサイトを改ざんし、仮想通貨を発掘する「Javascript」ベースのコインマイナー「CoinIMP」を埋め込もうとしていた。
また「CVE 2019-6340」に関しては、複数の緩和策が示されていたが、一部緩和策では攻撃が防げないことがその後判明している。
RESTモジュールにおいて「POST」「PATCH」といったリクエストを受け付けないことが当初緩和策のひとつとしてアナウンスされたことに対し、Ambionics Securityは、「GET」リクエストを用いた攻撃が可能であり、誤りであると指摘。
利用者に誤解を与えかねないとし、アップグレードするか、RESTモジュールの無効化が必要であると説明し、「実証コード(PoC)」を公開した。開発チームも同問題を認めてアドバイザリを修正している。
(Security NEXT - 2019/02/27 )
ツイート
PR
関連記事
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「Chrome」にセキュ更新 - 「クリティカル」2件含む15件を修正
MS月例パッチで500件以上の脆弱性に対応 - ゼロデイ脆弱性も
「VMware Avi Load Balancer」に複数脆弱性 - 「クリティカル」も
「Adobe ColdFusion」に脆弱性 - 悪用リスク高く、早急に対応を
「SonicWall SMA1000シリーズ」にゼロデイ脆弱性 - 更新や侵害調査を
「GCP」に他テナントのリポジトリを乗っ取れる脆弱性 - 5月に修正
iOS版「Firefox」にアップデート - 悪意あるページのPDF保存時に影響
「Django」にセキュリティ更新 - 複数の脆弱性に対応
「ServiceNow AI Platform」にRCE脆弱性 - 修正版を提供

