JPCERTコーディネーションセンター(JPCERT/CC)は4月8日、改ざんされたWebサイトの多くで、古いバージョンの管理コントロールパネルソフトウェア、「Parallels Plesk Panel」が稼働していると指摘し、注意を呼び掛けた。
3月中旬以降、国内でWebサーバが改ざんされ、不正なモジュールが仕込まれるケースが相次いでいる。JPCERTコーディネーションセンター(JPCERT/CC)は4月8日、そうしたWebサイトの多くで、古いバージョンの管理コントロールパネルソフトウェア、「Parallels Plesk Panel」が稼働していると指摘し、注意を呼び掛けた。
一連の改ざんでは、Webサーバの「Apache」に、「Darkleech Apache Module」と呼ばれる不正なモジュールが仕込まれ、アクセスしてきたユーザーを悪意あるWebサイトに誘導するようになっていた。もしユーザーのPCにインストールされているJavaやAdobe Flash、Adobe Readerといったプラグインが古いバージョンだった場合、マルウェアに感染してしまう恐れがある。
JPCERT/CCによると、こうした改ざんを受けたサイトでは、古いバージョンのParallels Plesk Panelが多く使われており、中にはサポート期限切れのバージョンで稼働しているサイトもあるという。
しかし、Parallels Plesk Panelが稼働しているサーバには、MySQL、BIND、phpMyAdminといったさまざまな付随するソフトウェアがインストールされている可能性がある。一方で導入している管理者側では、これらのソフトウェアを利用している認識が薄く、脆弱性が残ったままの古いバージョンで稼働している場合があり、こうした脆弱性を攻撃者に突かれ、Web改ざんなどの被害を受ける可能性があるとJPCERT/CCは指摘している。
実際に一部の攻撃では、旧バージョンのParallels Plesk Panelに存在するSQLインジェクションの脆弱性を用いてアカウント情報が盗み取られたり、推測しやすいパスワードを設定していた場合に辞書攻撃を受け不正なログインにつながった事例を確認しているという。
JPCERT/CCは、もちろん、不正なApacheモジュール設置に関するWeb改ざんのすべてが脆弱性を起因とするものであるとは確認できないとしながらも、脆弱性を残した状態で運用を行っていると、Web改ざんなどの被害を受ける可能性があると指摘。Parallels Plesk Panel本体に加え、OSや製品に含まれるその他のソフトウェアも含めて最新の状態にアップデートするとともに、「Parallels Plesk Panelへのアクセス制限を行う」「安全性の高いパスワードを設定する」「デフォルトの設定を変更し、Parallels Plesk Panelの設定画面からroot権限でのタスク実行を禁止する」といった対策を取るよう勧めている。
Copyright © ITmedia, Inc. All Rights Reserved.