WordPress用FileManagerとDockerAPI!警視庁が注意喚起

セキュリティ
fsHHによるPixabayからの画像

※この記事にはプロモーションが含まれています。

警察庁が2020/11/20にHPにて、Wordpress用FileManagerおよびDocker APIを標的としたアクセスについての報告がありました。よく使用しているWordpressとDockerに関する内容だったので、注意喚起として紹介いたします。

スポンサーリンク
スポンサーリンク

概要

WordPress用FileManagerの件について

内容

2020/9/1にWordpress用FileManagerプラグインが更新され脆弱性が明らかになり、JPCERT/CCからも日本語で情報が発信されています。海外のサイトでは、本脆弱性を対象としたPoCも公開されています。警察庁の調べでは、2020/10/13ごろから本件のアクセス増加を観測しております。

当該プラグインを悪用すると、第三者が任意のファイルをアップロードし、実行できるようになります。そのため、Webサーバーの改ざんや情報漏えいの原因となります。

対策

WordPress 用 FileManagerを使用している場合は、以下の対策を実施することを推奨されています。

  • WordPress 用 FileManagerの使用者は、バージョン 6.9 以降であることを確認する
  • 脆弱性のあるバージョンを使用している場合は、以下の対策を実施することを推奨する
    • 公開されている更新プログラムを適用し、ソフトウェアを最新の状態にする
    • WordPress とプラグインを最新バージョンにアップデートする

また、Wordpress を使用しており、脆弱性のあるプラグインを使用している場合は、すでに攻撃を受けている可能性がありますの。該当するサーバ等に、不審なイメージ、ファイル、プロセス、通信等がないか確認することが求められています。

DockerAPIの件について

内容

2019/11頃からDockerAPI探索行為が見え始め、2020/9以降当APIに対するアクセスが増加しているとのことです。アクセスの多くはDockerのバージョン情報を取得するものですが、外部操作を可能とするAPIを探索する目的での、稼働サーバー情報やコンテナ・イメージ情報を対象としたアクセスもみられるようです。主なアクセスはTCPポートの2375,2376,2377,4243,4244,555,2379等となっています。

外部からDockerAPIが認証なしで利用できる場合、攻撃者がAPIを使用して、悪意のあるDockerイメージを不正に作成、あるいはDockerイメージを使用し、ホストマシンへの侵入、攻撃の踏み台として悪用、暗号資産の採掘等を行う危険性も考えられる、としています。

対策

DockerAPI を使用している場合は、以下の対策を実施することを推奨されています。

  • 外部からのアクセスが必要がない場合は、外部から DockerAPI にアクセスできるように設定されていないか確認する
  • 外部から DockerAPI へのアクセスを行う必要がある場合は、以下を検討する
    • 電子証明書による認証を行う
    • 必要な送信元 IP アドレスのみに許可する
    • VPN を用いて接続する
  • 公開されている修正プログラムを適用し、ソフトウェアを最新の状態にする

また、外部から DockerAPI が認証なしで使用できる場合は、すでに攻撃を受けている可能性がありますの。該当するサーバ等に、不審なイメージ、ファイル、プロセス、通信等がないか確認することが求められています。

まとめ

まだ大きな被害は出ていないようですが、WordpressおよびDockerを利用する機会の多いユーザーは気を付けておきたいところです。また、警察庁のサイバーセキュリティHPも定期的に閲覧し、セキュリティ向上に努めていきましょう。

以上、WordpressとDockerの注意喚起に関する紹介でした。

コメント