ITmedia NEWS > セキュリティ >
ニュース
» 2013年12月17日 07時51分 UPDATE

不正なIISモジュール見つかる、インストールにColdFusionの脆弱性を使用

被害に遭った企業は脆弱性の存在を認識していながら、パッチはまだインストールしていなかった。

[鈴木聖子,ITmedia]

 MicrosoftのWebサーバソフト「Internet Information Services」(IIS)のモジュールとして機能しながら情報を盗み出すマルウェアの侵入経路に、Adobe ColdFusionの既知の脆弱性が使われていたことが分かったとして、セキュリティ企業のTrustwaveが12月13日のブログで報告した。

 問題の不正なIISモジュールは、クレジットカード情報やログイン情報などを盗み出すバックドア型のマルウェア。攻撃者がこのモジュールをインストールするために使ったのが、Cold Fusionのリモートアクセスの脆弱性だったという。

 この脆弱性は2013年1月に発覚したもので、管理者がファイルとデータベースにリモートからHTTP経由でアクセスするためのセキュリティコンポーネント「ColdFusion RDS」に存在する。

 攻撃側はまず、標的とするWebサイトでCold Fusionにこの脆弱性が存在するかどうかをチェックして、脆弱性が修正されていなければ悪用を試し、ファイルアップロード機能を利用して不正なIISモジュールをアップロードする。続いてOSレベルでコマンドを実行し、不正なIISモジュールをロードして起動してしまうという。

 Adobeがこの脆弱性の存在を公表したのが1月4日で、修正パッチの公開は1月16日、今回の攻撃が発生したのは2月28日だった。被害に遭った企業はAdobeの情報で脆弱性の存在を認識していながら、パッチ導入は3カ月に1度の定例スケジュールで行っていたために、Cold Fusionのパッチはまだインストールしていなかったという。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.