10000/TCPポートスキャンに警戒、bash脆弱性で「Webmin」が標的か

サーバ管理ソフト「Webmin」がデフォルトで使用している10000番ポートを狙ったスキャンが続き、JPCERT/CCでは注意を呼び掛けている。

[ITmedia]

　JPCERT コーディネーションセンター（JPCERT/CC）は10月10日、10000/TCPポートへのスキャンが9月下旬から増加しているとして注意を呼び掛けた。10000/TCPポートはサーバ管理ソフトの「Webmin」がデフォルトで使用している。Webminはシェル「bash」の脆弱性（通称ShellShock）の影響を受けるため、ポートスキャンは脆弱性の悪用を狙う可能性が高いようだ。

　JPCERT/CCの定点観測システム「TSUBAME」では、9月29日頃から10000/TCPポートへのスキャンが観測され、10月5日前後に急増した。10日現在も継続しているという。同様の兆候は警察庁の観測で確認されていた。

TSUBAME TCP 10000番ポート指定グラフ（9月20日〜10月8日）

　未対策のサーバが攻撃に遭えば不正に操作されるなどの恐れがあり、さらに第三者に対する攻撃の踏み台にされてしまうなど可能性がある。

　ShellShockの影響はWebmin 1.700以前のバージョンが受け、脆弱性を解決したバージョンの1.710が既に公開されている。JPCERT/CCは十分なテストを行い、WebminとGNU bashでの修正済みバージョンの適用を検討してほしいと呼び掛けている。