シマンテックは12月24日、CMS「Joomla!」に、コアのリモートコード実行の脆弱性が存在するとしてセキュリティブログで注意喚起を行った。

この脆弱性の影響を受けるのは、Joomla! 3.4.6より以前のバージョンで、最新バージョンに更新することで脆弱性のパッチが適用される。

ただしシマンテックでは、今回の脆弱性パッチの公開が問題の解決になっていないことを指摘している。Joomla!には、パッチが適用されない脆弱性も多数存在しており、攻撃者がさかんに脆弱なサーバーをスキャンして攻撃を仕掛けていることがわかっているという。

Joomla!の脆弱性が原因で、多くのユーザーがリスクとなる恐れがある。例えば、サイバー犯罪者が脆弱性を悪用してサーバー上でコマンドを実行し、Webサイトやデータベースの内容を改変したりサーバーにマルウェアを仕掛けることが可能。さらには訪問者を他の悪質なWebサイトにリダイレクトすることもできる。

ブログでは、攻撃者が脆弱なサーバーを発見し悪用するまでの手順を紹介している。

攻撃者は、まず脆弱なバージョンのJoomla!が稼働しているサーバーをスキャンするために、「phpinfo()関数」を呼び出すか、所定の値のMD5を出力する。サーバーが脆弱であることは、サーバーから送信される「233333」という値のMD5ハッシュで判断するという。

サーバーの応答で出力されるMD5ハッシュ

別の手法では、「eval(char())関数」の実行を試み、その応答で「die(pi());」からの出力があるかどうかを待つ。応答が返ってきた場合、攻撃者がそのサーバーが脆弱であると判断する。

eval(char())関数からのサーバー応答

攻撃者は、システムに脆弱性があるとわかれば、サーバー内にバックドアをインストールし、攻撃者が侵入先のコンピュータにフルアクセスできるようにする。

脆弱なサーバーで使われるバックドアのコードの一部

サーバーが感染した場合は、バックドア経由で攻撃者がコマンドを実行することが可能となる。これにより、サーバーにホストされているWebサイトを改変したり、ファイルを任意にアップロードまたはダウンロードしたりが可能となる。

また、訪問者を悪用ツールキットにリダイレクトするために使われ、マルウェアのホスティングに使われている可能性もあるほか、侵入したサーバーをアンダーグラウンドで売買や貸借の対象となる恐れもあると指摘している。

攻撃者は、Joomla!が脆弱なバージョンで稼働しているか確認するためにスキャンを盛んに行っており、実際に攻撃を受けている件数も多い。平均すると、脆弱なJoomla!サーバーで1日あたり1万6600件の攻撃が検出されているという。

脆弱なJoomla!サーバーに対する攻撃件数

シマンテックは、Joomla!(バージョン1.5~3.4)を使っているWebサイトは、いずれも攻撃に対して脆弱であるため、速やかに最新バージョンにアップグレードすることを推奨している。サポートが終了しているバージョンは、脆弱性にパッチを適用するセキュリティホットフィックスを利用できる。

そのほか、「セキュリティソフトウェアを含め、他のソフトウェアもすべて最新の状態に保つ」「重要なデータは必ず頻繁に、かつ何重かでバックアップを作成する」「ログを監視し、脅威が見つかった場合にはただちに対処する」「パスワードはけっして平文で保存しない」などの基本的なセキュリティ対策も有効だとしている。