不正なIISモジュール見つかる、インストールにColdFusionの脆弱性を使用

[鈴木聖子，ITmedia]

　MicrosoftのWebサーバソフト「Internet Information Services」（IIS）のモジュールとして機能しながら情報を盗み出すマルウェアの侵入経路に、Adobe ColdFusionの既知の脆弱性が使われていたことが分かったとして、セキュリティ企業のTrustwaveが12月13日のブログで報告した。

　問題の不正なIISモジュールは、クレジットカード情報やログイン情報などを盗み出すバックドア型のマルウェア。攻撃者がこのモジュールをインストールするために使ったのが、Cold Fusionのリモートアクセスの脆弱性だったという。

　この脆弱性は2013年1月に発覚したもので、管理者がファイルとデータベースにリモートからHTTP経由でアクセスするためのセキュリティコンポーネント「ColdFusion RDS」に存在する。

　攻撃側はまず、標的とするWebサイトでCold Fusionにこの脆弱性が存在するかどうかをチェックして、脆弱性が修正されていなければ悪用を試し、ファイルアップロード機能を利用して不正なIISモジュールをアップロードする。続いてOSレベルでコマンドを実行し、不正なIISモジュールをロードして起動してしまうという。

　Adobeがこの脆弱性の存在を公表したのが1月4日で、修正パッチの公開は1月16日、今回の攻撃が発生したのは2月28日だった。被害に遭った企業はAdobeの情報で脆弱性の存在を認識していながら、パッチ導入は3カ月に1度の定例スケジュールで行っていたために、Cold Fusionのパッチはまだインストールしていなかったという。