脆弱な「Drupal」サイトをボット化、仮想通貨発掘させる攻撃が発生
コンテンツマネジメントシステム(CMS)である「Drupal」に深刻な脆弱性「CVE-2018-7602」が見つかった問題で、同脆弱性を利用してサーバをボット化する攻撃が確認された。
「Drupal」に関しては、影響が大きく「Drupalgeddon 2.0」といった異名も持つ「CVE-2018-7600」が3月に判明しているが、同脆弱性と関連し、悪用されるリスクが高い脆弱性として4月末のゴールデンウィーク直前に修正されたのが、今回の攻撃対象となった「CVE-2018-7602」。悪用されるとリモートよりコードを実行されるおそれがある。
今回、同脆弱性に対する攻撃をトレンドマイクロが確認したもので、同脆弱性を悪用して、ダウンローダを一定のスケジュールで実行するよう「crontab」に追加してサーバをボット化。仮想通貨「Monero」を発掘させるオープンソースのコインマイナーをインストールさせようとしていた。
また攻撃にあたり、事前に「Tor」ネットワーク経由で脆弱性が存在するか確認する特徴が見られたという。あくまで「Tor」の出口ノードであるため、関連性はあきらかでないが、同社では同じIPアドレスを発信元とした攻撃を繰り返し観測しているという。
5 月中旬からの1カ月間で攻撃は800回以上にのぼっており、「Heartbleed」として知られる「OpenSSL」の脆弱性「CVE-2014-0160」や、「ShellShock」の脆弱性「CVE-2017-5674」などをはじめ、ウェブサーバの脆弱性に対する攻撃やSSHに対するブルートフォース攻撃なども観測しているという。
同社は、「CVE-2018-7602」はコインマイナーのインストールだけではなく、広く悪用されるおそれがあると指摘。「Drupal」をアップデートし、脆弱性を解消するよう呼びかけている。
(Security NEXT - 2018/06/29 )
ツイート
PR
関連記事
中小規模組織向けにエンドポイント保護製品 - カスペ
米政府、「Exchange Server」の脆弱性対応で緊急指令
「Exchange Server」へのゼロデイ攻撃、中国支援グループが関与か
「Apache Tomcat」に複数脆弱性 - 2月のアップデートで修正済み
「Chrome 89」が公開、セキュリティ関連で修正47件 - ゼロデイ脆弱性にも対応
「Microsoft Exchange Server」に定例外パッチ - ゼロデイ攻撃が発生
「Cisco NX-OS」に6件の脆弱性 - 重要度「クリティカル」も
「VMware vCenter Server」の深刻な脆弱性 - 悪用リスク上昇
「VMware vCenter Server」に深刻な脆弱性 - 「VMware ESXi」の脆弱性も
Windows向け「Zscaler Client Connector」に権限昇格の脆弱性
