各位
https://www.jpcert.or.jp/at/2016/at160036.html
I. 概要
JPCERT/CC では、Web アプリケーションが使用するソフトウエアの脆弱性を悪用した Web サイトの改ざんを確認しています。 Web アプリケーションやWeb アプリケーションが使用しているソフトウエアに存在する脆弱性を悪用されることにより、Web サイトの改ざんなどの被害が発生する可能性があります。
オープンソースの CMS である Joomla! には PHP の脆弱性*1 に起因した任意のコードが実行可能となる脆弱性*2 が存在し、JPCERT/CC では、それらを悪用した Web サイトの改ざん報告を受けています。
*1: CVE-2015-6835: PHP
*2: CVE-2015-8562: Joomla!
Web サイトを改ざんなどの攻撃から守るために、「II. 対策」や「III. 参考情報」に記載した情報を参考に、早期の点検や対応を行うことを推奨します。
II. 対策
以下の確認事項、対策をご検討ください。
(確認事項)
- Web アプリケーション (CMS など) およびそれが使用しているソフトウエ
ア (プログラミング言語、開発フレームワーク、ライブラリなど) のバー
ジョンが最新版であるか確認する
- Web サーバのアクセスログを定期的に確認し、不審なリクエストが記録さ
れていないかなどを確認する
- Web サイトで公開しているコンテンツに不正なプログラムが含まれていな
いことや、コンテンツが改ざんされていないことを確認する
- Web サイトに脆弱性が存在しないか、第三者によるセキュリティ診断を実
施する
(対策)
- Web アプリケーションおよびそれが使用しているソフトウエアを最新版
に更新する
- Web Application Firewall (WAF) などを用いて、脆弱性を悪用する攻撃
パケットを遮断する
なお、「I.概要」に挙げた PHP および Joomla! の脆弱性 (CVE-2015-6835,
CVE-2015-8562) が修正されたバージョンは以下のとおりです。
- PHP
バージョン 5.4.45 以上
バージョン 5.5.29 以上
バージョン 5.6.13 以上
※ なお、PHP の各バージョンにおけるサポートに対する注意が、PHP か
ら発表されています。サポートが終了している PHP 5.4.x および PHP
5.5.x のバージョンを利用している場合には、サポートが継続してい
るバージョンへのアップデートをお勧めします。
- バージョン 5.4.x のサポートは、2015年9月で終了しています
- バージョン 5.5.x のサポートは、2016年7月で終了しています
各バージョンのサポートに関する詳細は、php からの情報を参考にし
てください。
php
Supported Versions
https://php.net/supported-versions.php
- Joomla!
バージョン 3.4.6 以上
III. 参考情報phpSec Bug #70219 Use after free vulnerability in session deserializerhttps://bugs.php.net/bug.php?id=70219
Joomla![20151201] - Core - Remote Code Execution Vulnerability
https://developer.joomla.org/security-centre/630-20151214-core-remote-code-execution-vulnerability.html
HASH コンサルティング株式会社Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因http://blog.tokumaru.org/2015/12/joomla-zero-day-attack-caused-by-php.html
JPCERT/CC注意喚起「サイバー攻撃に備えてWebサイトの定期的な点検を」https://www.jpcert.or.jp/pr/2016/pr160004.html
独立行政法人情報処理推進機構 (IPA)ウェブサイトの攻撃兆候検出ツール iLogScannerhttps://www.ipa.go.jp/security/vuln/iLogScanner/
独立行政法人情報処理推進機構 (IPA)Web Application Firewall (WAF) 読本 (PDF)https://www.ipa.go.jp/files/000017312.pdf
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
Email: ww-info@jpcert.or.jp WWW: https://www.jpcert.or.jp/
TEL: 03-3518-4600 FAX: 03-3518-4602
JPCERT-AT-2016-0036
JPCERT/CC
2016-09-27
JPCERT/CC Alert 2016-09-27
Web サイトで使用されるソフトウエアの脆弱性を悪用した攻撃に関する注意喚起https://www.jpcert.or.jp/at/2016/at160036.html
I. 概要
JPCERT/CC では、Web アプリケーションが使用するソフトウエアの脆弱性を悪用した Web サイトの改ざんを確認しています。 Web アプリケーションやWeb アプリケーションが使用しているソフトウエアに存在する脆弱性を悪用されることにより、Web サイトの改ざんなどの被害が発生する可能性があります。
オープンソースの CMS である Joomla! には PHP の脆弱性*1 に起因した任意のコードが実行可能となる脆弱性*2 が存在し、JPCERT/CC では、それらを悪用した Web サイトの改ざん報告を受けています。
*1: CVE-2015-6835: PHP
*2: CVE-2015-8562: Joomla!
Web サイトを改ざんなどの攻撃から守るために、「II. 対策」や「III. 参考情報」に記載した情報を参考に、早期の点検や対応を行うことを推奨します。
II. 対策
以下の確認事項、対策をご検討ください。
(確認事項)
- Web アプリケーション (CMS など) およびそれが使用しているソフトウエ
ア (プログラミング言語、開発フレームワーク、ライブラリなど) のバー
ジョンが最新版であるか確認する
- Web サーバのアクセスログを定期的に確認し、不審なリクエストが記録さ
れていないかなどを確認する
- Web サイトで公開しているコンテンツに不正なプログラムが含まれていな
いことや、コンテンツが改ざんされていないことを確認する
- Web サイトに脆弱性が存在しないか、第三者によるセキュリティ診断を実
施する
(対策)
- Web アプリケーションおよびそれが使用しているソフトウエアを最新版
に更新する
- Web Application Firewall (WAF) などを用いて、脆弱性を悪用する攻撃
パケットを遮断する
なお、「I.概要」に挙げた PHP および Joomla! の脆弱性 (CVE-2015-6835,
CVE-2015-8562) が修正されたバージョンは以下のとおりです。
- PHP
バージョン 5.4.45 以上
バージョン 5.5.29 以上
バージョン 5.6.13 以上
※ なお、PHP の各バージョンにおけるサポートに対する注意が、PHP か
ら発表されています。サポートが終了している PHP 5.4.x および PHP
5.5.x のバージョンを利用している場合には、サポートが継続してい
るバージョンへのアップデートをお勧めします。
- バージョン 5.4.x のサポートは、2015年9月で終了しています
- バージョン 5.5.x のサポートは、2016年7月で終了しています
各バージョンのサポートに関する詳細は、php からの情報を参考にし
てください。
php
Supported Versions
https://php.net/supported-versions.php
- Joomla!
バージョン 3.4.6 以上
III. 参考情報phpSec Bug #70219 Use after free vulnerability in session deserializerhttps://bugs.php.net/bug.php?id=70219
Joomla![20151201] - Core - Remote Code Execution Vulnerability
https://developer.joomla.org/security-centre/630-20151214-core-remote-code-execution-vulnerability.html
HASH コンサルティング株式会社Joomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因http://blog.tokumaru.org/2015/12/joomla-zero-day-attack-caused-by-php.html
JPCERT/CC注意喚起「サイバー攻撃に備えてWebサイトの定期的な点検を」https://www.jpcert.or.jp/pr/2016/pr160004.html
独立行政法人情報処理推進機構 (IPA)ウェブサイトの攻撃兆候検出ツール iLogScannerhttps://www.ipa.go.jp/security/vuln/iLogScanner/
独立行政法人情報処理推進機構 (IPA)Web Application Firewall (WAF) 読本 (PDF)https://www.ipa.go.jp/files/000017312.pdf
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
Email: ww-info@jpcert.or.jp WWW: https://www.jpcert.or.jp/
TEL: 03-3518-4600 FAX: 03-3518-4602
前
コメント
共 有
