脆弱な「Drupal」サイトをボット化、仮想通貨発掘させる攻撃が発生
コンテンツマネジメントシステム(CMS)である「Drupal」に深刻な脆弱性「CVE-2018-7602」が見つかった問題で、同脆弱性を利用してサーバをボット化する攻撃が確認された。
「Drupal」に関しては、影響が大きく「Drupalgeddon 2.0」といった異名も持つ「CVE-2018-7600」が3月に判明しているが、同脆弱性と関連し、悪用されるリスクが高い脆弱性として4月末のゴールデンウィーク直前に修正されたのが、今回の攻撃対象となった「CVE-2018-7602」。悪用されるとリモートよりコードを実行されるおそれがある。
今回、同脆弱性に対する攻撃をトレンドマイクロが確認したもので、同脆弱性を悪用して、ダウンローダを一定のスケジュールで実行するよう「crontab」に追加してサーバをボット化。仮想通貨「Monero」を発掘させるオープンソースのコインマイナーをインストールさせようとしていた。
また攻撃にあたり、事前に「Tor」ネットワーク経由で脆弱性が存在するか確認する特徴が見られたという。あくまで「Tor」の出口ノードであるため、関連性はあきらかでないが、同社では同じIPアドレスを発信元とした攻撃を繰り返し観測しているという。
5 月中旬からの1カ月間で攻撃は800回以上にのぼっており、「Heartbleed」として知られる「OpenSSL」の脆弱性「CVE-2014-0160」や、「ShellShock」の脆弱性「CVE-2017-5674」などをはじめ、ウェブサーバの脆弱性に対する攻撃やSSHに対するブルートフォース攻撃なども観測しているという。
同社は、「CVE-2018-7602」はコインマイナーのインストールだけではなく、広く悪用されるおそれがあると指摘。「Drupal」をアップデートし、脆弱性を解消するよう呼びかけている。
(Security NEXT - 2018/06/29 )
ツイート
PR
関連記事
メッセージ保護アプリ「TM SGNL」の複数脆弱性、悪用リストに追加
「NetScaler ADC」脆弱性、パッチ公開前から攻撃発生
「NetScaler ADC/Gateway」にゼロデイ脆弱性 - 早急に更新を
「Chrome」にゼロデイ脆弱性、アップデート公開 - 軽減策の実施も
特権コマンド実行ツール「sudo」に重要度「クリティカル」の脆弱性
「IBM WebSphere Application Server」にRCE脆弱性 - 暫定パッチ公開
「MS Edge」にアップデート - 固有の脆弱性などにも対処
Salesforceのローコード開発ツールに脆弱性 - 設定リスクの指摘も
構成管理ツール「Salt」に複数脆弱性 - 「クリティカル」も
「Kibana」に深刻な脆弱性 - 「Chromium」の既知脆弱性に起因
