Pleskを狙ったゼロデイ脆弱性とは
「Parallels Plesk Panel」とは、米「Parallels」の人気ホスティング向けコントロールパネルで、「Plesk」という通称でも知られています。Webのホスティング会社やサービスプロバイダは、このPleskを使用することで、自分たちの顧客にWebサイトやサーバのホストや運営をさせることとが可能になります。
2013年6月、このPleskを狙ったゼロデイ脆弱性利用に関する報告をトレンドマイクロで確認しました。このゼロデイ脆弱性利用のエクスプロイトに関するコード情報は、「Kingcope」の名で知られるセキュリティ専門家のメーリングリスト上で明らかにされたようです。Kingcopeは、該当の脆弱性は、Plesk上のPHPの不適切な設定に起因すると報告しています。
なお、Parallelsの公式サイトでのブログでは、Pleskのバージョン「9.5.4」、「10.x」、「11.x」、さらに「Parallels Plesk Automation」に関しては、今回の脆弱性の影響は受けないと説明しています。また、同ブログでは、この脆弱性は、Pleskの特定の旧バージョンに影響を与え、「CVE-2012-1823」で対応されていた古い脆弱性の変化形とも説明しています。
この脆弱性が悪用されると、サイバー犯罪者は、Pleskを使用しているWebサイトを完全にコントロールすることが可能になり、この結果、そうしたWebサイト上にマルウェアを組み込むことも可能になります。
Pleskを狙った今回の脆弱性は、どのようなものですか。
この脆弱性は、Pleskのソフトウェア上に存在する脆弱性で、「Parallels Plesk Remote PHP Command Execution Vulnerability」と呼ばれています。この脆弱性が悪用されると、攻撃者は、例えば、PHPスクリプトにコマンドラインを挿入することが可能になります。これにより、遠隔で任意のコードを実行することができ、結果として標的のコンピュータを完全にコントロールすることが可能になります。さらに、不正なコードを組み込むことも可能であり、このため、Pleskで実行している特定のWebサイトを閲覧したユーザも、自分たちのコンピュータが他の不正なファイル等に感染するなどの被害を受ける可能性があります。
今回の脆弱性のエクスプロイトコードが実行されると、どのようなことが起こりますか。
今回のエクスプロイトコードは、PHPのインタプリタから以下の引数を直接呼び出します。
- allow_url_include=on
- safe_mode=off
- suhosin.simulation=on
トレンドマイクロの解析結果では、攻撃者は、「allow_url_include」 という引数を利用すると、任意のPHPスクリプトを挿入させることが可能になり、「suhosin.simulation」という引数は、コンピュータの保護機能を低下させることが可能になるということが分かっています。
今回の脅威は、企業や組織にどのような影響を与えるでしょうか。
今回のようなWebサーバ関連の脆弱性が悪用されると、攻撃者が企業や組織のネットワークに侵入することが可能になります。企業や組織のIT・ネットワーク管理者は、日々の業務においてシステムやサーバを常時稼働にしておく必要があり、このため、脆弱性へのパッチ処理は遅れがちとなっています。パッチ処理を展開する際、システムやサーバの再起動が必要となり、そのために発生するダウンタイム等は、日々の業務への妨げとなってしまうからです。また、IT・ネットワーク管理者は、そうしたパッチの適応にあたり、ネットワーク環境にどのような予期せぬ影響があるかといった調査やテストも事前に実行する必要があり、こうした点も、脆弱性への対処が後回しにされがちな要因となっています。
しかし、IT・ネットワーク管理者がこういったパッチ処理の適応を遅らせてしまうと、その企業や組織のシステムやサーバは、その分だけ攻撃者による脆弱性悪用の脅威にさらされたままとなってしまいます。
今回のゼロデイ脆弱性利用は、Pleskの旧バージョンを標的としているため、Pleskのソフトウェアにより自社のサーバを使用している企業では、定期的な更新をしっかりと実施していない場合、被害に見舞われる可能性があります。セキュリティ専門家のSooraj KSによると、今回の脆弱性が悪用されると、攻撃者は、システムの完全なコントロールだけでなく、企業が使用するWebサーバのルートディレクトリに保存されている重要情報を窃取し、その情報を不正活動に利用することも可能になり、さらには、Pleskを利用しているWebサイト自体が改ざんされてしまうリスクもあると指摘しています。
なぜ、Pleskを狙ったゼロデイ脆弱性にユーザは注意すべきでしょうか。
サイバー犯罪者は、今回の脆弱性を悪用してバックドア型のマルウェアを駆使した不正活動を行なっているからです。このため、今回の脆弱性を悪用して改ざんされたWebサイトをユーザが閲覧すると、ユーザのコンピュータがマルウェアに感染するか、個人情報等が窃取される可能性があります。
それでは、今回のようなゼロデイ脆弱性を悪用した攻撃から身を守るには、ユーザや企業、組織は、どのような対策を講じることができるでしょうか。
特に企業や組織の場合は、Pleskを最新バージョンにアップデートしておく必要があります。これにより、今回のようなゼロデイ脆弱性による攻撃を防止することが可能になります。上述のとおり、今回の脆弱性は、Pleskの古いバージョンに対してであり、バージョン「9.5.4」、「10.x」、「11.x」、さらに「Parallels Plesk Automation」は影響を受けないからです。
また、マルウェアを検出して不正なWebサイトへのアクセスをしっかりとブロックしてくれる信頼のおけるセキュリティソフトをインストールすることも最善の対策となります。
トレンドマイクロ製品は、今回の脅威からユーザを守ることができますか。
もちろん守ることができます。トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をおよび「Trend Micro 脆弱性対策オプション」をご利用のお客様は、この脅威から保護されます。特に当製品の推奨設定機能である「仮想パッチ自動適用機能」は、サーバの脆弱性をDeep Security保護モジュールが自動で検出し、その脆弱性に必要な仮想パッチ(シグニチャ)を自動で適用することで、OSやアプリケーションの脆弱性を保護する機能です。この仮想パッチとは、脆弱性を狙う攻撃コードをネットワークレベルでブロックする機能であり、ネットワーク上で脆弱性が使用する交信について、ルールを作成してブロックすることが可能になります。また、仮想パッチはサーバを停止、再起動することなく適用することができるため、企業の日々の業務を妨げません。
今回の脆弱性に関しては、特に以下のルールによりユーザは守られています。
- 1005529 – Parallels Plesk Remote PHP Command Execution Vulnerability
また、IT・ネットワーク管理者側の対応としては、Apacheの設定で「scriptAlias /phppath/ ”/usr/bin/”」の行を削除するか、この行にコメントアウトを施すかの処理を行うことを推奨します。またPleskのコントロールパネルページで認証の有効化を設定することを推奨します。レガシーシステムをご使用の場合は、Parallelsの以下のサイト(英語)にて詳細をご確認ください。
トレンドマイクロの専門家からのコメント:
ボットネットやその他のマルウェア作成キットがインターネット上に広く出回っている中、それらは、脆弱性を抱えたPleskがインストールされている数多くのWebサイトをも改ざんしようとしています。こうした中、ご使用のソフトウェアを最新バージョンにアップデートして、今回のようなネットワーク関連の攻撃からWebサーバを守ることは、不可欠といえるでしょう。
- スレット・リサーチャー: Sooraj KS