Drupal の脆弱性(CVE-2018-7600)を悪用した攻撃の観測 脆弱性Lab

2018年5月29日

はじめに

 本コラムについては、CSIRT担当様やサーバ担当様向けの情報として掲載しております。

 3月末にDrupalの脆弱性(CVE-2018-7600)が公開されました。その後、攻撃コードが公開され、その翌日から対象の脆弱性を悪用した攻撃を観測しています。今回の脆弱性の根本対策は、ソフトウェアのバージョンアップです。ソフトウェアバージョンアップの実施を躊躇していると実影響がある可能性があります。

脆弱性概要

 以下バージョンのDrupalにはリモートでコード実行可能な脆弱性が存在します。

 Drupalのバージョンアップを実施することで、脆弱性が解消されます。

【影響を受けるバージョン】
 ・Drupal 6.x
 ・Drupal 7.58 および 8.5.1 より前のバージョン

観測された攻撃パターン

 本コラム作成時点において、以下の攻撃パターンを観測用のハニーポットにて観測しています。

パターン日付攻撃特徴想定影響
1 2018/4/14 リクエストボディにデータなし 実影響無し
2 2018/4/15 不審なシェルスクリプト取得/実行 IRC Bot に感染
3 2018/4/17 ~ 不審なファイル取得
(ファイル確認できず)
不明
4 2018/4/21 ~ 不審なPHPファイル設置 WebShell設置

パターン別 攻撃観測数

<パターン別 攻撃観測数>

各攻撃パターンの詳細

1. リクエストボディにデータなしパターン

 2018年4月14日 に観測された攻撃通信は、POSTリクエストのボディがないもので、実影響はないと考えられます。攻撃パケットの調整か攻撃対象の特定に使われていた可能性があります。

(1) 観測パケット
観測パケット
2. 不審なシェルスクリプト取得/実行パターン

 2018年4月15日 に観測された攻撃通信は、POSTリクエストのボディをセットされた通信で、攻撃が成功した場合、外部に配置されているシェルスクリプトが実行される可能性があります。このシェルスクリプト実行後に、外部にある不審なファイルがダウンロードされ実行されます。ダウンロードされる不審なファイルですが、VirusTotalにて調査したところ、バックドア機能を有したマルウェアと考えられます

(1) 観測パケット
観測パケット
(2) 実行されるシェルスクリプト
実行されるシェルスクリプト
(3) ダウンロードされるファイル情報
ダウンロードされるファイル情報1
ダウンロードされるファイル情報2
3. 不審なファイル取得(ファイル確認できず)

 2018年4月17日 から継続して観測している攻撃通信です。通信内容を確認する限り、外部からファイルを取得させられる可能性があります。しかし、対象のファイルはダウンロードできず、実影響は判明しておりません。

 ファイル取得先のIPアドレスをVirusTotalにて調査すると、マルウェアが接続するIPの可能性が示唆されており、不審な接続先である可能性が高いと考えられ、今後マルウェアなどがダウンロードされる可能性があります。

(1) 観測パケット
観測パケット
(2) VirusTotal の情報
VirusTotal の情報1
VirusTotal の情報2
4. 不審なPHPファイル設置パターン

 2018年4月21日から継続して観測している通信です。(1)、(2)の通信を確認する限り、PHPで記載されたWebShell(バックドア)が配置される可能性があります。対象のWebShellですが、以下の機能を備えていると想定されます。

 ・任意のコマンド実行機能
 ・ファイルアップロード機能
(1) 観測パケット(WebShell直接配置型)
観測パケット(WebShell直接配置型)
(2) 観測パケット(WebShellダウンロード型)
観測パケット(WebShellダウンロード型)
(3) 配置されるWebShell(一部抜粋)
配置されるWebShell(一部抜粋)

まとめ

 脆弱性(CVE-2018-7600)の影響を受けるバージョンのDrupalをご利用の際は、不正プログラムが実行されていたり、設置されていたりする可能性がありますので、以下のIOCを参考に対応が必要と考えます。また、Drupalの本脆弱性の修正プログラムの適用を検討いただくことを推奨します。

 また、本脆弱性を悪用する攻撃コードの投稿が確認された翌日に攻撃が観測されておりますので、修正プログラムの適用を速めるなど今後のサーバ運用の検討が必要と考えます。

Indicators of Compromise(IOC)

(1) 不審な接続先
 54[.]39[.]23[.]28
 51[.]254[.]221[.]129
 51[.]254[.]219[.]134
 173[.]237[.]240[.]115
(2) ダウンロードファイル
5f2b198701ce619c6af308bcf3cdb2ef36ad2a5a01b9d9b757de1b066070dad7 bash
f12aa6748543fde5d3b6f882418035634d559fc4ab222d6cfb399fd659b5e34f cron
2cfa79ce4059bbc5798f6856cf82af7fce1d161d6ef398c07f01a010ba5299ea nsshcron
3ca8c549357d6121b96256715709bccf16a249dcc45bad482f6c8123fc75642f nsshpftp
d4fba221b1a706dd3c617e33077d1072b37b2702c3235d342d94abfd032ba5f8 nsshtfti
e2267edd2b70b5f42a2da942fa47cca98e745f2f2ff8f3bbf7baf8b1331c1a89 ntpd
cfc82255b7e75da9cd01cffdfd671ccf6fafaa3f705041d383149c1191d8bdff pftp
5e8398c89631ea8d9e776ec9bdd6348cb32a77b300ab8b4ead1860a6a1e50be7 pty
948ef8732346e136320813aade0737540ef498945c1ea14f26a2677e4d64fdee shy
5477129edd21ce219e2a8ecf4c0930532c73417702215f5813c437f66c8b0299 sshd
c937caa3b2e6cbf2cc67d02639751c320c8832047ff3b7ad5783e0fd9c2d7bae tfti

参考文献

以上

著者プロフィール

西井 晃

2012年、KCCS入社
データセンターサービスやクラウドサービスにおいて、運用保守やサービス開発業務に従事。
2016年、SecureOWL Center (SOC) に配属後、セキュリティ監視運用やセキュリティサービス立ち上げを担当。現在は、セキュリティアナリストとして、セキュリティインシデントレスポンス業務に従事。KCCS-CSIRTの活動に参加し、世界平和を目指す。

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ