Drupal の脆弱性(CVE-2018-7600)を悪用した攻撃の観測 脆弱性Lab
2018年5月29日
はじめに
本コラムについては、CSIRT担当様やサーバ担当様向けの情報として掲載しております。
3月末にDrupalの脆弱性(CVE-2018-7600)が公開されました。その後、攻撃コードが公開され、その翌日から対象の脆弱性を悪用した攻撃を観測しています。今回の脆弱性の根本対策は、ソフトウェアのバージョンアップです。ソフトウェアバージョンアップの実施を躊躇していると実影響がある可能性があります。
脆弱性概要
以下バージョンのDrupalにはリモートでコード実行可能な脆弱性が存在します。
Drupalのバージョンアップを実施することで、脆弱性が解消されます。
- 【影響を受けるバージョン】
- ・Drupal 6.x
- ・Drupal 7.58 および 8.5.1 より前のバージョン
観測された攻撃パターン
本コラム作成時点において、以下の攻撃パターンを観測用のハニーポットにて観測しています。
| パターン | 日付 | 攻撃特徴 | 想定影響 |
|---|---|---|---|
| 1 | 2018/4/14 | リクエストボディにデータなし | 実影響無し |
| 2 | 2018/4/15 | 不審なシェルスクリプト取得/実行 | IRC Bot に感染 |
| 3 | 2018/4/17 ~ | 不審なファイル取得 (ファイル確認できず) |
不明 |
| 4 | 2018/4/21 ~ | 不審なPHPファイル設置 | WebShell設置 |
<パターン別 攻撃観測数>
各攻撃パターンの詳細
1. リクエストボディにデータなしパターン
2018年4月14日 に観測された攻撃通信は、POSTリクエストのボディがないもので、実影響はないと考えられます。攻撃パケットの調整か攻撃対象の特定に使われていた可能性があります。
(1) 観測パケット
2. 不審なシェルスクリプト取得/実行パターン
2018年4月15日 に観測された攻撃通信は、POSTリクエストのボディをセットされた通信で、攻撃が成功した場合、外部に配置されているシェルスクリプトが実行される可能性があります。このシェルスクリプト実行後に、外部にある不審なファイルがダウンロードされ実行されます。ダウンロードされる不審なファイルですが、VirusTotalにて調査したところ、バックドア機能を有したマルウェアと考えられます
(1) 観測パケット
(2) 実行されるシェルスクリプト
(3) ダウンロードされるファイル情報
3. 不審なファイル取得(ファイル確認できず)
2018年4月17日 から継続して観測している攻撃通信です。通信内容を確認する限り、外部からファイルを取得させられる可能性があります。しかし、対象のファイルはダウンロードできず、実影響は判明しておりません。
ファイル取得先のIPアドレスをVirusTotalにて調査すると、マルウェアが接続するIPの可能性が示唆されており、不審な接続先である可能性が高いと考えられ、今後マルウェアなどがダウンロードされる可能性があります。
(1) 観測パケット
(2) VirusTotal の情報
 |
 |
4. 不審なPHPファイル設置パターン
2018年4月21日から継続して観測している通信です。(1)、(2)の通信を確認する限り、PHPで記載されたWebShell(バックドア)が配置される可能性があります。対象のWebShellですが、以下の機能を備えていると想定されます。
- ・任意のコマンド実行機能
- ・ファイルアップロード機能
(1) 観測パケット(WebShell直接配置型)
(2) 観測パケット(WebShellダウンロード型)
(3) 配置されるWebShell(一部抜粋)
まとめ
脆弱性(CVE-2018-7600)の影響を受けるバージョンのDrupalをご利用の際は、不正プログラムが実行されていたり、設置されていたりする可能性がありますので、以下のIOCを参考に対応が必要と考えます。また、Drupalの本脆弱性の修正プログラムの適用を検討いただくことを推奨します。
また、本脆弱性を悪用する攻撃コードの投稿が確認された翌日に攻撃が観測されておりますので、修正プログラムの適用を速めるなど今後のサーバ運用の検討が必要と考えます。
Indicators of Compromise(IOC)
(1) 不審な接続先
- 54[.]39[.]23[.]28
- 51[.]254[.]221[.]129
- 51[.]254[.]219[.]134
- 173[.]237[.]240[.]115
(2) ダウンロードファイル
| 5f2b198701ce619c6af308bcf3cdb2ef36ad2a5a01b9d9b757de1b066070dad7 | bash |
| f12aa6748543fde5d3b6f882418035634d559fc4ab222d6cfb399fd659b5e34f | cron |
| 2cfa79ce4059bbc5798f6856cf82af7fce1d161d6ef398c07f01a010ba5299ea | nsshcron |
| 3ca8c549357d6121b96256715709bccf16a249dcc45bad482f6c8123fc75642f | nsshpftp |
| d4fba221b1a706dd3c617e33077d1072b37b2702c3235d342d94abfd032ba5f8 | nsshtfti |
| e2267edd2b70b5f42a2da942fa47cca98e745f2f2ff8f3bbf7baf8b1331c1a89 | ntpd |
| cfc82255b7e75da9cd01cffdfd671ccf6fafaa3f705041d383149c1191d8bdff | pftp |
| 5e8398c89631ea8d9e776ec9bdd6348cb32a77b300ab8b4ead1860a6a1e50be7 | pty |
| 948ef8732346e136320813aade0737540ef498945c1ea14f26a2677e4d64fdee | shy |
| 5477129edd21ce219e2a8ecf4c0930532c73417702215f5813c437f66c8b0299 | sshd |
| c937caa3b2e6cbf2cc67d02639751c320c8832047ff3b7ad5783e0fd9c2d7bae | tfti |
参考文献
-
・【IPA】Drupal の脆弱性対策について(CVE-2018-7600)
https://www.ipa.go.jp/security/ciadr/vul/20180329-drupal.html
-
・【JPCERT】Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起
以上
著者プロフィール
西井 晃
2012年、KCCS入社
データセンターサービスやクラウドサービスにおいて、運用保守やサービス開発業務に従事。
2016年、SecureOWL Center (SOC) に配属後、セキュリティ監視運用やセキュリティサービス立ち上げを担当。現在は、セキュリティアナリストとして、セキュリティインシデントレスポンス業務に従事。KCCS-CSIRTの活動に参加し、世界平和を目指す。
掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。
