Distributed via http://www.npa.go.jp/cyberpolice/ 平 成 27 年 2月 25 日 Topic Bash の脆弱性iを標的としたアクセスの観測について(第4報) Bash の脆弱性を標的とした宛先ポート 80/TCP に対するアクセスを多数観測しました。脆 弱性の存在するウェブサーバがこのアクセスを受けると、不正な Perl スクリプトがダウンロー ドされ、ボットとして動作する可能性があります。ウェブサーバの脆弱性の有無の確認とセキ ュリティ対策を行うことを推奨いたします。 1 Bash の脆弱性を標的とした宛先ポート 80/TCP に対するアクセスの観測について 2月 18 日から2月 24 日までの間、Bash の脆弱性を標的としていると考えられる宛先ポート 80/TCP に対するアクセスが増加しました。 Bash の脆弱性を標的とした宛先ポート 80/TCP に対するアクセスは、脆弱性の存在するウェ ブサーバの探索や、脆弱性の存在するウェブサーバへの侵入や攻撃を目的として送信されて いるものです。このアクセスは、以前から観測されており、これらの多くは細工したパケットを送 信することにより、脆弱性の存在するウェブサーバ上で不正に Perl コマンドを実行させることを 企図したものです。 今回増加したアクセスは、同様に Perl コマンドを実行させるものですが、Perl スクリプトを攻 撃対象であるウェブサーバにダウンロード及び実行をさせ、当該ウェブサーバをボットとして利 用することを目的としていると考えられます(図1)。 (件/日・IPアドレス) 300 250 200 150 100 50 2月19日 2月12日 2月5日 1月29日 1月22日 1月15日 1月8日 1月1日 12月25日 12月18日 12月11日 12月4日 11月27日 11月20日 11月13日 11月6日 10月30日 10月23日 10月16日 10月9日 10月2日 9月25日 0 Perlスクリプトをダウンロード・実行させるア クセス Perlコマンドを実行させるアクセス その他の80/TCPに対するアクセス 図1 Bash の脆弱性を標的とした宛先ポート 80/TCP に対するアクセス件数の推移 (平成 26 年9月 25 日∼平成 27 年2月 25 日) i Bash の脆弱性に関しては、これまでにも複数回注意喚起を実施しています。 「Bash の脆弱性を標的としたアクセスの観測について」(平成 26 年9月 25 日) http://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf 「Bash の脆弱性を標的としたアクセスの観測について(第2報)」(平成 26 年 10 月7日)) http://www.npa.go.jp/cyberpolice/detect/pdf/20141007.pdf 「Bash の脆弱性を標的としたアクセスの観測について(第3報)」(平成 26 年 12 月9日)) http://www.npa.go.jp/cyberpolice/detect/pdf/20141209-2.pdf Copyright 2015 Cyber Force Center, NPA JAPAN 2 被害に遭ったウェブサーバの動作について 脆弱性の存在するウェブサーバがこのアクセスを受けた場合、ウェブサーバでは次のような 動作が行われる可能性があります。 Perl コマンドによる脆弱性有無の通知 Perl スクリプトをダウンロード 当該 Perl スクリプトの実行(IRC ボットとしての動作) − 指令サーバへの接続 − 各種不正動作 当該 Perl スクリプトの削除 この Perl スクリプトは、IRC ボットとして動作させるためのものであり、被害に遭ったウェブサ ーバは、外部に設置された指令サーバ(IRC サーバ)に対して宛先ポート 6667/TCP、チャンネ ル名「#bash」で接続を行います。そのサーバからの指令により、被害に遭ったウェブサーバは 外部への DoS 攻撃、ポートスキャン、メール送信等の不正な動作をする危険性があります(図 2)。 ③指令サーバへの接続、 不正動作 指令サーバ ①攻撃者によるアクセス ②Perlスクリプトの ダウンロード、実行 Bash脆弱性を標的 としたアクセス Perlスクリプト ダウンロード 脆弱性有無の通知 ウェブサーバ 脆弱性あり スクリプト蔵置ホスト 図2 被害に遭ったウェブサーバの動作 当該 Perl スクリプトは、実行後削除されますが、被害に遭ったウェブサーバのボットとしての 動作は継続しているものと考えられます。また、攻撃者から更なる攻撃を受けている可能性が あります。 3 推奨する対策 管理するウェブサーバが当該脆弱性の影響を受ける Bash を使用していないか確認してくだ さい。 脆弱性の公開から既に5ヶ月が経過し、様々な攻撃が行われてきたことを確認しています。 脆弱性の存在を確認した場合は、今回紹介した事例以外にも外部から何らかの攻撃を受けて いる可能性が高いため、外部とのネットワーク接続を直ちに遮断し、詳細な調査を実施すると ともにセキュリティ対策を行うことを推奨いたします。 Copyright 2015 Cyber Force Center, NPA JAPAN
© Copyright 2024 ExpyDoc
![仕様書B[PDF:248KB]](http://s1.expydoc.com/store/data/007238916_1-54089dcab5f11fd0bc57c1d6e594e68b-250x500.png)
