Ubuntuフォーラムから200万人の情報流出、放置の脆弱性が悪用される

攻撃者は、パッチが当てられていなかったvBulletinのプラグイン「Forumrunner」のSQLインジェクションの脆弱性を悪用していた。

» 2016年07月19日 06時45分 公開
[鈴木聖子ITmedia]
Ubuntuフォーラム

 Canonical傘下のUbuntuは7月15日、フォーラムサイトで既知の脆弱性が悪用され、ユーザー200万人の情報が流出したと発表した。

 発表によると、協定世界時の14日、同フォーラムのデータベースのコピーを入手したと主張している人物がいるとCanonicalに連絡があり、調査したところ、情報が流出していたことが判明。慎重を期すためにフォーラムを一時閉鎖して詳しく調べた結果、フォーラム用のモバイル最適化プラグイン「Forumrunner」に既知のSQLインジェクションの脆弱性があり、パッチが当てられていなかったことが分かった。

 攻撃者がフォーラムのデータベースにフォーマットされたSQLを挿入すれば、どのテーブルでも読めてしまう状態だったという。今回の攻撃ではこの脆弱性を突いて、ユーザー200万人のユーザー名やメールアドレス、IPアドレスが記録された「ユーザー」テーブルにアクセスされ、一部がダウンロードされていた。

 このテーブルに保存されていたパスワードはランダムな文字列だったとUbuntuは説明。ハッシュとソルトがかけられたこの文字列が攻撃者にダウンロードされたものの、有効なパスワードにはアクセスされなかった強調している。

不正アクセスの原因は脆弱性対応の不備だった説明した

 対策として、フォーラムソフトウェア「vBulletin」は最新のパッチを適用し、全システムとデータベースのパスワードをリセットする措置を取った。再発を防ぐため、Webアプリケーションファイアウォール「ModSecurity」をインストールするとともに、セキュリティパッチを確実に適用するよう、vBulletinのモニタを強化したという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ