攻撃者はLinuxサーバにバックドアやルートキットをインストールするため、Linuxに備わっているウェブホスティングソフトウェアを狙っています。
Control Web Panel(旧:CentOS Web Panel)は、Webページからサーバの設定を行うことができるソフトでウェブホスティング企業や大規模なサーバーインフラのホスティングや管理に使用されてます。
少なくとも今年の2月以降脅威組織がインターネット上に公開されているLinuxにCWPがインストールされているかどうかをスキャンし、古い脆弱性のエクスプロイトを利用してCWPの管理画面にアクセス、「Facefish」というバックドアをインストールしていましたことがわかりました。
このマルウェアの主な目的はデバイスの情報を収集し、任意のコマンドを実行、感染したホストからSSH認証情報を盗むこととされています。
Juniper社とQihoo 360社のNetlabによって発見されたこの攻撃では、攻撃者がそのサーバへの接続性を維持するためにハッキングしたLinuxサーバーにダウンロードしていた珍しいルートキットコンポーネントも含まれています。
215,000件以上のCWPがオンラインで利用可能に
Juniperはレポートで、Facefishの攻撃者は単にボットネットを構築していただけで、侵害されたシステムへのアクセスを売却または貸与していた可能性が高いという考えを示しています。
通常CWPは大規模かつ重要なサーバーネットワークを運用する目的で導入されているため、これらのシステムへのアクセスはランサムウェアのグループなどにとって非常に価値があります。
CWPには数多くの脆弱性があり、CWPのどのバージョンが今回の攻撃に対して脆弱であるのか、脆弱であり続けるのかを確認することは非常に難しいですが、2020年の時点でインターネットからアクセス可能なCWPのインストール台数は215,000台を超えており、今回の攻撃で侵害されたサーバの数は相当数に上ると思われます。
BinaryEdgeエンジンで検索すると、現在インターネット上に185,000台以上のCWPがインターネットに公開されていることがわかりますが、これらのシステムのうちどれだけがパッチ未適用で脆弱であるかは不明です。
Juniper社とNetlab社は今回攻撃者が利用した脆弱性のCVE識別子を公表していません。
しかし、両社のブログには、実際のエクスプロイトコードが掲載されており、ITチームはこれを分析して、受信したエクスプロイトの試みをブロックするためのファイアウォールルールを設定することができます。
Comments