ニュース
Drupalに脆弱性、アップデート公開直後から攻撃横行 早急に更新を
Drupalの「極めて重大」な脆弱性を修正する更新版が公開されたのは2月20日。翌日にはこの脆弱性を突くコードが公開され、25日には集中的な攻撃の横行が報告された。
Webサイトの管理に使われているコンテンツマネジメントシステム(CMS)のDrupalを狙って、修正されたばかりの脆弱性を突く攻撃が横行している。
Drupalの「極めて重大」な脆弱性を修正する更新版が公開されたのは2月20日。脆弱性を悪用されれば任意のPHPコードを実行され、Webサーバを制御される恐れもある。
セキュリティ企業のImpervaによると、翌日にはこの脆弱性を突くコードが公開され、Drupalも2月23日の更新情報でリスク評価を引き上げて対策を紹介した。しかし、25日には集中的な攻撃の横行が報告され、新しい悪用の手口も浮上した。
Impervaによると、同社の顧客だけでも政府機関や金融機関など数十のWebサイトに対して攻撃を試みるトラフィックを確認した。攻撃の総数は計り知れず、攻撃が成功したケースもあると見られる。攻撃は複数の集団や国から仕掛けられているという。
Drupalについては、過去にも更新版が公開された直後から攻撃が横行し、迅速に対処しなかったWebサイトが被害に遭う事態が繰り返されていた。
まだ今回の更新を済ませていない場合は、早急に「Drupal 8.6.10」「Drupal 8.5.11」にアップデートする必要がある。Drupalでは、ハッキングされてしまった場合の対処方法についても解説している。
関連記事
- だからCMSは狙われる WordPressやDrupalに攻撃が相次ぐわけ
このところ相次いでいるCMSの脆弱性を突いた攻撃。なぜCMSは攻撃者の餌食になっているのでしょうか。 - 脆弱性放置のDrupalサイト、相次ぎ仮想通貨採掘攻撃の被害に
世界各国の政府機関や教育機関などのWebサイト、さらにはLenovoのWebサイトなどで、「クリプトジャッキング攻撃」の被害が確認された。 - 猫好きを狙うマルウェア「Kitty」、Drupalの脆弱性突き仮想通貨を採掘
Kittyマルウェアは『お願いだから削除しないで。私は無害な可愛い子猫なの』と訴える。 - Drupalの脆弱性を突く攻撃を確認、直ちに対応を
Drupalの更新版(バージョン7.59、8.5.3、8.4.8)が公開された。既にこの脆弱性を突く攻撃が確認されていることから、まだ更新を済ませていないサイトは直ちに対応する必要がある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.