攻撃者は、パッチが当てられていなかったvBulletinのプラグイン「Forumrunner」のSQLインジェクションの脆弱性を悪用していた。
Canonical傘下のUbuntuは7月15日、フォーラムサイトで既知の脆弱性が悪用され、ユーザー200万人の情報が流出したと発表した。
発表によると、協定世界時の14日、同フォーラムのデータベースのコピーを入手したと主張している人物がいるとCanonicalに連絡があり、調査したところ、情報が流出していたことが判明。慎重を期すためにフォーラムを一時閉鎖して詳しく調べた結果、フォーラム用のモバイル最適化プラグイン「Forumrunner」に既知のSQLインジェクションの脆弱性があり、パッチが当てられていなかったことが分かった。
攻撃者がフォーラムのデータベースにフォーマットされたSQLを挿入すれば、どのテーブルでも読めてしまう状態だったという。今回の攻撃ではこの脆弱性を突いて、ユーザー200万人のユーザー名やメールアドレス、IPアドレスが記録された「ユーザー」テーブルにアクセスされ、一部がダウンロードされていた。
このテーブルに保存されていたパスワードはランダムな文字列だったとUbuntuは説明。ハッシュとソルトがかけられたこの文字列が攻撃者にダウンロードされたものの、有効なパスワードにはアクセスされなかった強調している。
対策として、フォーラムソフトウェア「vBulletin」は最新のパッチを適用し、全システムとデータベースのパスワードをリセットする措置を取った。再発を防ぐため、Webアプリケーションファイアウォール「ModSecurity」をインストールするとともに、セキュリティパッチを確実に適用するよう、vBulletinのモニタを強化したという。
Copyright © ITmedia, Inc. All Rights Reserved.