JPCERT/CC(JPCERTコーディネーションセンター)は10日、TCP 10000番ポートへのスキャンが2014年9月下旬より増加しているとし、注意を呼びかけた。実際に攻撃を受け、別の攻撃への踏み台にされているケースも発生している。
TCP 10000番ポートは、Webベースのシステム管理ツール「Webmin」の標準ポートとして利用されることが多い。さらに、先日公開されて問題となっている「GNU bash」脆弱性の影響を受ける。JPCERT/CCでは、Webminと脆弱性の影響を受けるバージョンのGNU bashが動作する環境において、Webminの権限で任意のコードが実行可能であること確認済み(Webminは標準インストールでroot権限動作)。
JPCERT/CCの観測によると、ポートスキャン元のIPアドレスにおいて、Webminのログイン画面と推測される応答を確認。Webminが稼働するサーバが攻撃を受けた結果、第三者への攻撃の踏み台とされ、TCP 10000番ポートに対するスキャン増加の原因との見解を述べている。実際に攻撃の踏み台となっている事例もあり、JPCERT/CCが判断したIPアドレスのネットワーク管理者に連絡しているという。
10月10日現在、TCP 10000番ポートを対象としたスキャンが継続しているため、影響を受けるバージョンのWebminおよびGNU bashを使用している場合は、対策を講じるよう呼びかけている。