株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

自分で調べる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2019年09月26日 | 注意喚起

【注意喚起】フォーラム構築ソフト「vBulletin」の深刻な脆弱性(CVE-2019-16759)で攻撃通信の急増確認

JSOCアナリストの高井・山坂です。

フォーラムサイトを構築するソフトウェア「vBulletin」について、9月24日に新たな脆弱性(CVE-2019-16759)が公開されました。この脆弱性は、vBulletinが動作するサーバにおいて、任意のコードが実行(RCE)され、データの改ざんや流出などの被害が発生する恐れがある、非常に危険なものです。

JSOC®では9月25日夜にこの脆弱性を悪用する攻撃通信の急増を確認しています。9月25日の午後 時点では、セキュリティパッチのないゼロデイ脆弱性であり、容易に悪用可能なことから非常に多くの攻撃が行われていました。

攻撃通信は、Webサイトにバックドアを仕掛けるものが数多く見受けられることから、攻撃成功後に侵入行為へと発展する可能性が考えられ、早急な対応が必要です。

まずはvBulletinの利用有無を確認し、利用している場合は公式サイトより9月26日に提供が開始されているセキュリティパッチの適用に加え、後述する確認方法を用いた調査、および状況によりサーバの侵害調査を実施されることをお勧めします。

対応が難しい場合は、サーバの停止も含めご検討ください。

JSOCで確認したインシデント通知件数の推移

9月26日9時までにJSOCが検知した攻撃の検知件数は、図1のように推移しています。
本稿執筆時点においては件数は減少しているものの、対象の業種などを問わず広範囲にわたり攻撃が継続しています。

Webサイトにバックドアを仕掛ける攻撃の件数推移
図1:Webサイトにバックドアを仕掛ける攻撃の件数推移

JSOCの観測では、この攻撃を行う送信元IPアドレスの約半数が東南アジア地域からです(図2)。
同一IPアドレスはさほど多くなく、非常に多くのIPアドレスから攻撃が行われていることから、ボットネット等を用いていると推測されます。

送信元IPアドレスの国コード別割合

図2:送信元IPアドレスの国コード別割合

影響を受ける可能性があるソフトウェアバージョン

パッチ未適用のvBulletin5すべてのバージョン

対策方法

vBulletinのバージョン5.5.2, 5.5.3, 5.5.4 をご利用の場合は以下URLに記載されている情報をもとに提供されているセキュリティパッチを適用してください。

それ以前のバージョンを利用している場合は、最新版へバージョンアップしてください。

vBulletin Security Patch Released. Versions 5.5.2, 5.5.3, and 5.5.4 - vBulletin Community Forum

攻撃や被害を受けているかどうかの確認方法

以下のキーワードで、Webサーバのログを検索してください。

  • POSTリクエストかつ、"routestring=ajax/render/widget_php"を含む文字列

該当するログがある場合は、攻撃を受けている可能性があるため、そのリクエスト内容の正当性(利用上の正常なリクエストかどうか)を確認してください。

不審なリクエストログが確認される場合、セキュリティパッチの提供より先に攻撃が観測されていることから、vBulletinが動作する環境では既に被害を受けている可能性があります。

サーバ上に不審なファイルが作成されていないかなどの詳細調査を実施することをお勧めします。

この記事は役に立ちましたか?

はい いいえ

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top