-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


各位

                                                   JPCERT-AT-2016-0036
                                                             JPCERT/CC
                                                            2016-09-27

                  <<< JPCERT/CC Alert 2016-09-27>>>

Web サイトで使用されるソフトウエアの脆弱性を悪用した攻撃に関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160036.html

I. 概要
  JPCERT/CC では、Web アプリケーションが使用するソフトウエアの脆弱性を
悪用した Web サイトの改ざんを確認しています。 Web アプリケーションや
Web アプリケーションが使用しているソフトウエアに存在する脆弱性を悪用さ
れることにより、Web サイトの改ざんなどの被害が発生する可能性があります。

  オープンソースの CMS である Joomla! には PHP の脆弱性*1 に起因した任
意のコードが実行可能となる脆弱性*2 が存在し、JPCERT/CC では、それらを
悪用した Web サイトの改ざん報告を受けています。
  *1: CVE-2015-6835: PHP
  *2: CVE-2015-8562: Joomla!

  Web サイトを改ざんなどの攻撃から守るために、「II. 対策」や「III. 参
考情報」に記載した情報を参考に、早期の点検や対応を行うことを推奨します。


II. 対策
  以下の確認事項、対策をご検討ください。

  (確認事項)
  - Web アプリケーション (CMS など) およびそれが使用しているソフトウエ
    ア (プログラミング言語、開発フレームワーク、ライブラリなど) のバー
    ジョンが最新版であるか確認する
  - Web サーバのアクセスログを定期的に確認し、不審なリクエストが記録さ
    れていないかなどを確認する
  - Web サイトで公開しているコンテンツに不正なプログラムが含まれていな
    いことや、コンテンツが改ざんされていないことを確認する
  - Web サイトに脆弱性が存在しないか、第三者によるセキュリティ診断を実
    施する

  (対策)
  - Web アプリケーションおよびそれが使用しているソフトウエアを最新版
    に更新する
  - Web Application Firewall (WAF) などを用いて、脆弱性を悪用する攻撃
    パケットを遮断する

  なお、「I.概要」に挙げた PHP および Joomla! の脆弱性 (CVE-2015-6835,
  CVE-2015-8562) が修正されたバージョンは以下のとおりです。

    - PHP
    バージョン 5.4.45 以上
    バージョン 5.5.29 以上
    バージョン 5.6.13 以上

    ※  なお、PHP の各バージョンにおけるサポートに対する注意が、PHP か
        ら発表されています。サポートが終了している PHP 5.4.x および PHP
        5.5.x のバージョンを利用している場合には、サポートが継続してい
        るバージョンへのアップデートをお勧めします。

        - バージョン 5.4.x のサポートは、2015年9月で終了しています
        - バージョン 5.5.x のサポートは、2016年7月で終了しています

        各バージョンのサポートに関する詳細は、php からの情報を参考にし
        てください。

        php
        Supported Versions
        https://php.net/supported-versions.php
        
    - Joomla!
    バージョン 3.4.6 以上


III. 参考情報
php
Sec Bug #70219 Use after free vulnerability in session deserializer
https://bugs.php.net/bug.php?id=70219

Joomla!
[20151201] - Core - Remote Code Execution Vulnerability 
https://developer.joomla.org/security-centre/630-20151214-core-remote-code-execution-vulnerability.html

HASH コンサルティング株式会社
Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因
http://blog.tokumaru.org/2015/12/joomla-zero-day-attack-caused-by-php.html

JPCERT/CC
注意喚起「サイバー攻撃に備えてWebサイトの定期的な点検を」
https://www.jpcert.or.jp/pr/2016/pr160004.html

独立行政法人情報処理推進機構 (IPA)
ウェブサイトの攻撃兆候検出ツール iLogScanner
https://www.ipa.go.jp/security/vuln/iLogScanner/

独立行政法人情報処理推進機構 (IPA)
Web Application Firewall (WAF) 読本 (PDF)
https://www.ipa.go.jp/files/000017312.pdf


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
Email: ww-info@jpcert.or.jp    WWW: https://www.jpcert.or.jp/
TEL: 03-3518-4600  FAX: 03-3518-4602

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJX6fu/AAoJEDF9l6Rp7OBIat0IAIymyZFX7bY4Gz9XaujmablO
2vfpWfGVBGT6gL04TCfXfGvV5R2WNznzVAes9MJfF2wgA2AvyqMoL34kInNliBdA
w6AsRCtaqiYWHQlXDf5rAstWiokDv46VYQeWnAM4dQg2KnxKyO/Bp01TSDhTx4Hp
mj+MXgktfKuF2y51+5m24f3aeW5efj7Gg9AL70J3vEI6frYTBBgQkyglKchC7Ey2
L+gL/aUkRYs20yaG1OB8nG2Xbsis80CvHYW2WHDXm/a/QaAnfkzXhDWhACwts8cO
zx0dG8xcMKDwCwaDh40tp38z4ZxaiMT4tviYNQOmytAI0EJ9ZDZuULWR5+K5lp8=
=bucA
-----END PGP SIGNATURE-----