2009年03月27日
Tomcatのマネージャ機能に関する注意喚起
最近の緊急対応サービス【個人情報119】において、連続的に「Tomcatのマネージャ機能の悪用」によるWebバックドアのインストール被害が発生しております。
攻撃が成立した場合、Tomcatのwebappsフォルダ内に悪意のあるwarファイルがインストールされます。多くの場合warファイルは多機能なバックドアであり、Tomcatのユーザ権限でサーバ内の任意のファイルのダウンロード、アップロード、コマンドの実行が可能になります。
Tomcatのマネージャを標的とした攻撃手法は目新しくはありませんが、Tomcatをご利用中のサーバ管理者の方は、念のため現在の設定状況をご確認されることをお勧めします。
被害の原因は以下の3点です。なお、攻撃が成立するためには3点がすべて当てはまる必要があります。
- 1.ファイアウォールのフィルタリング不備
- Tomcat使用ポート(8080/tcpなど)が意図せずにインターネットに公開されている
- 2. Tomcatユーザ(conf/tomcat-users.xml)の脆弱なパスワード
- adminのパスワードが「admin」や「パスワードなし」など
- 3. 意図しないマネージャ機能の公開
- 意図せずにマネージャアプリケーションが起動している
まずはTomcatのwebappsディレクトリ内に覚えのないディレクトリやwarファイルがないか被害有無の確認をしてください。
サイトガイド
セキュリティ情報
教育・資格取得
サービス&製品
![[QRコード]](/common/img/guide_qr_lac.gif)
リファレンス
