年末年始に掛けて多数のスキャン痕跡

phpMyAdminを狙う攻撃が増加、アップデートなどの対策を

2012/01/16

　2011年の年末から2012年にかけて、phpMyAdminの脆弱性を狙った攻撃が増加しており、注意が必要だ。いくつかのブログで、phpMyAdminの脆弱性をスキャンしたと見られるログが報告されている。

　phpMyAdminは、PHPで実装されたMySQLの管理ツールだ。機能が豊富で、Webインターフェイス経由でMySQLを管理できることから広く利用される一方で、複数の脆弱性が発見されており、たびたび攻撃の標的になってきた。

　古くは2009年3月に、「phpMyAdminのsetup.phpにおける任意のPHPコードを挿入される脆弱性（CVE-2009-1151）」が発見され、学術機関を中心に被害が発生した。

　また2011年7月にも、任意のコードを実行可能な2種類の脆弱性（CVE-2011-2505、CVE-2011-2506）が発見されている。この脆弱性に関するNTTデータ先端技術のレポートによれば、これら2つの脆弱性を組み合わせて利用し、細工したHTTPリクエストを送り付けることによって、Webサーバの実行権限で任意のPHPコードを実行可能となってしまう。実際に同社が、Debian 6.0.2上のphpMyAdmin 3.3.10を用いて検証を実施したところ、細工を施したHTTPリクエストを介してコンフィグファイルを出力させ、任意のコマンドを実行できるスクリプトを設置、実行できることが明らかになった。

　HASHコンサルティングの徳丸浩氏も同様に、phpMyAdminの脆弱性のメカニズムについて説明。phpMyAdmin 3.3.10.2未満／3.4.3.1未満を利用しており、「setup/index.phpとsetup/config.phpを外部から実行できる」といった条件が満たされている場合に、外部から任意のPHPスクリプトを実行できることを検証している。

　こうした情報を踏まえ、ラックでは2011年12月16日に、phpMyAdminの脆弱性を狙った攻撃に関する被害相談が複数寄せられていることを受け、注意喚起を行っていた。

　対策は、脆弱性を修正済みのバージョン3.3.10.2／3.4.3.1以上にアップグレードすること。また、基本的にphpMyAdminは外部に公開する必要はないため、インターネットに公開しないか、するとしても接続できるIPアドレスを制限するといった手法も有効だ。普段phpMyAdminを利用していなくとも、OS導入時、あるいはVPSなどの利用時に勝手にインストールされている可能性があるため、確認の上、不要ならば削除するなどの措置を取るとよいだろう。