旧バージョンの Parallels Plesk Panel の利用に関する注意喚起
最終更新: 2013-04-08
各位
JPCERT-AT-2013-0018
JPCERT/CC
2013-04-08
<<< JPCERT/CC Alert 2013-04-08 >>>
旧バージョンの Parallels Plesk Panel の利用に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130018.html
I. 概要
JPCERT/CC では、サーバ上に不正な Apache モジュールが設置されたことに
より、Web サイト閲覧時に意図しない JavaScript が挿入される Web 改ざん
に関する報告を多数受けています。改ざんされたサイトを閲覧した場合、結果
としてユーザの PC がマルウエアに感染する可能性があります。
弊センタ―にて入手した情報によると、これらのサイトでは、サポート期限
切れのバージョンを含む旧バージョンの Parallels Plesk Panel が多く使わ
れているとのことです。Parallels Plesk Panel が稼働しているサーバには、
付随する様々なソフトウエア(MySQL、BIND、phpMyAdmin 等)がインストールさ
れている可能性があり、ユーザはこれらのソフトウエアを使用している認識が
薄いため、脆弱性を内在した古いバージョンで稼働している場合が多くありま
す。
今回の不正な Apache モジュール設置に関する Web 改ざん事例の全てが脆
弱性を起因とするものであるとは確認できていませんが、脆弱性を内在した状
態で運用を行っている場合、攻撃者によって脆弱性を突かれ、Web 改ざんなど
の被害を受ける可能性がありますので、未然防止の観点から、Parallels
Plesk Panel 本体だけでなく、OS や製品に含まれるその他のソフトウエアも
含め、最新の状態にアップデートすることをお勧めします。
一部の攻撃では、旧バージョンの Parallels Plesk Panel に存在する SQL
インジェクションの脆弱性を用いてアカウント情報が窃取されたり、初期設定
のパスワードや簡易なパスワードを設定している場合には辞書攻撃によりアカ
ウント情報が特定されて、不正なログインが行われている事例を確認していま
す。また、ログイン後、Parallels Plesk Panel の cron manager 機能を用い
て不正なスクリプトを動作させ、結果として不正な Apache モジュールが設置
されている事も確認しています。
II. 対策
Web サイトの管理用に Parallels Plesk Panel を使用している場合は、以
下の対策をご検討ください。
- Parallels Plesk Panel を最新のバージョンに更新する
- サーバに含まれる OS、ソフトウエアを最新に更新する
- Parallels Plesk Panel へのアクセス制限を行う
(特定の IP アドレスに限定するなど)
- 安全性の高いパスワードを設定する
- 使用する Parallels Plesk Panel の設定画面から root 権限でのタスク
実行を禁止する(*1)
(*1) 初期設定では、Parallels Plesk Panel は以下のケースで、ユーティリ
ティやスクリプトを root 権限で実行することを許可しています。
- cron manager でのタスクのスケジューリング (バージョン 8 〜 11)
- Event Manager tool でのイベントハンドリング (バージョン 11)
これらの操作を禁止するためには、以下のパス及びファイル名で空ファイルを
作成してください。$PRODUCT_ROOT_D は、RPM ベースのシステムでは
/usr/local/psa、DEB ベースのシステムでは /opt/psa と読み替えてください。
$PRODUCT_ROOT_D/var/root.crontab.lock
$PRODUCT_ROOT_D/var/root.event.handler.lock
詳細は以下の「Protecting from Running Tasks on Behalf of root」を参照
してください。
Enhancing Security
http://download1.parallels.com/Plesk/PP11/11.0/Doc/en-US/online/plesk-linux-advanced-administration-guide/68755.htm
III. 参考情報
Parallels
Parallels Plesk Panel 11.0 for Linux リリースノート
http://download1.parallels.com/Plesk/PP11/11.0/release-notes/ja-JP/parallels-plesk-panel-11.0-for-linux-based-os.html
Parallels
Parallels Plesk Panel のセキュリティに関するベストプラクティス
http://kb.parallels.com/jp/114620
Parallels
Enhancing Security
http://download1.parallels.com/Plesk/PP11/11.0/Doc/en-US/online/plesk-linux-advanced-administration-guide/68755.htm
トレンドマイクロ
国内外におけるWebサーバ(Apache)の不正モジュールを使った改ざん被害
http://blog.trendmicro.co.jp/archives/6888
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ