2018年3月から4月にかけて、CMS(コンテンツマネジメントシステム)として

世界中に普及しているDrupalの重大な脆弱性が複数公開されました。

セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)の

セキュリティオペレーションセンター(e-Gateセンター)では、最近、本脆弱性を

狙った攻撃活動が継続的に観測されており、警戒が必要です。

このDrupalの脆弱性を狙った攻撃の詳細情報と対策について、

e-Gateセンターより情報が公開されましたのでご紹介いたします。

また、弊社製品のSniper ONE、Sniper IPSでは近日中に今回の攻撃に対応する

シグネチャをリリース予定です。詳細が判明次第、続報としてニュースを掲載します。

また、本記事はこちらよりPDFにてご覧頂けます。

注意喚起:Drupalの脆弱性を狙った攻撃について

 1.  概要

  最近の仮想通貨市場の盛り上がりを反映して、サイバー攻撃においても、システムの脆弱性を悪用し仮想通貨を不正に取得しようとするケースが増加しています。今回取り上げるのはオープンソースのCMS(コンテンツマネジメントシステム)であるDrupalで発見された脆弱性です。この脆弱性に関しても、仮想通貨のマイニングを目的とした攻撃が世界中で多数報告されています。DrupalはWordPressやJoomla!に次いで普及しているCMSです。企業のWebサイトでフレームワークとして利用されていることも多く、サイト管理者がDrupalを使用していることに気づいていないケースも考えられるため、注意が必要です。

 2. 背景と現在の状況

  2018年3月28日に脆弱性CVE-2018-7600が公開され、続いて4月25日にCVE-2018-7602が公開されました。いずれも、脆弱性のあるバージョンのDrupalが動作しているWebサーバに対して、悪意を持った攻撃者が細工したHTTPリクエストを送ることで、サーバ実行ユーザ権限で任意のコードを実行することが可能となるRCE (Remote Code Execution)の脆弱性です。これらの脆弱性の重大度は、Drupalの開発元によって「Highly Critical」と設定されており、実際に攻撃による被害も報告されているため、早急に対策を実施する必要があります。

  e-Gateセンターにおいても、CVE-2018-7600を狙ったと思われる通信を観測しています(図1)。5月に入ってからも継続的に攻撃活動が観測されているため、依然として警戒が必要です。

 なお、CVE-2018-7602を狙った攻撃は現在のところ確認されていません。一定の権限を有したユーザの認証情報を取得していることが攻撃の前提条件となるためと推測されます。ただし、ユーザ認証を要しない攻撃可能箇所が発見されることで、今後攻撃活動が活発となる可能性があります。

 

【図1 CVE-2018-7600を狙ったと見られる通信の推移】

 3. 攻撃と対策

 ⑴Drupalの脆弱性を突いた攻撃

 脆弱性のあるバージョンのDrupalでは、一部のパラメータにおいてユーザの入力した値に対する検証が十分になされていません。攻撃者はそれを利用し、脆弱性のあるバージョンのDrupalが動作するWebサーバに対して細工を施したHTTPリクエストを送信することで、サーバ上で攻撃者が用意した任意のコードを実行します。

【図2 攻撃イメージ】

 

⑵想定される影響

 本脆弱性が悪用されることによる影響の例として、以下が挙げられます。

 

【図3 影響の一例】

 

 本脆弱性は攻撃者に任意のコードの実行を可能とするものですので、この他にも様々な被害を及ぼす可能性があります。ご使用のWebサーバ上で攻撃コードが実行されることで、直接被害を受けるだけでなく他のユーザに対して攻撃を行う側となってしまうおそれもあるため、ご注意ください。

⑶対象

 次のバージョンの Drupal が本脆弱性の影響を受けます。

①CVE-2018-7600

  • Drupal 8.5.1 より前のバージョン
  • Drupal 7.58 より前のバージョン

②CVE-2018-7602

  • Drupal 8.5.3 より前のバージョン
  • Drupal 7.59 より前のバージョン

※サポートが既に終了している Drupal 6系やDrupal 8.4系以前でも本脆弱性の影響を受けることが発表されています。詳細は開発元の情報をご確認ください。

 

⑷対策

 次のバージョンのDrupalについて、本脆弱性の修正済みバージョン・セキュリティパッチが提供されています。

  • Drupal 8.5.x
  • Drupal 7.x
  • Drupal 8.4.x
  • Drupal 8.3.x

 脆弱性対象バージョンをご使用の場合は最新版へのアップデートの実施を推奨いたします。また、ただちにアップデートが実施できない場合は、セキュリティパッチの適用による回避策をご検討ください。上記に記載の無いバージョンの対応については、開発元の情報をご確認ください。

 

⑸参考情報

①CVE-2018-7600

JPCERT/CC  Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起

 Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

②CVE-2018-7602

JPCERT/CC  Drupal の脆弱性 (CVE-2018-7602) に関する注意喚起

 Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004

 

4. e-Gateの活用について

 今回の攻撃はシステムの脆弱性を突く攻撃の1例です。ターゲットとなるサーバへの攻撃を早期に発見する為には、日々の運用監視が重要です。SSKの総合セキュリティサービス「e-Gate」のセキュリティ運用監視サービスをご活用頂くことで、精度の高い検知、早期発見による迅速な事後対応が可能となります。

■総合セキュリティサービス「e-Gate」

 SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。

【参考URL】    https://www.ssk-kan.co.jp/e-gate/

 

 

 ※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。