トレンドマイクロは、2013年1月15日のブログ記事において、Webアプリケーションフレームワーク「Ruby on Rails」に存在する深刻な脆弱性「CVE-2013-0156」について取り上げました。同記事では、問題の脆弱性を利用した攻撃は確認されていない(当時)こと、しかしこのエクスプロイトコードがフレームワーク「Metasploit」の一部として公開されていることから、今後この脆弱性を利用する攻撃の危険性が高くなるということを指摘しました。つまりこの深刻な脆弱性が利用されることは時間の問題でした。そのためトレンドマイクロは、サーバ管理者に対し、使用している Ruby on Rails に最新の修正プログラムを適用することを強く推奨しました。
そして今回、2013年5月28日、問題の脆弱性を対象とするエクスプロイトコードを利用した、Linuxサーバへの攻撃が確認されました。この脆弱性は、感染コンピュータへのアクセス権を獲得し、アクセスしたコンピュータを IRCボットネットの一部にするために利用されました。この活動を行う不正プログラムは、トレンドマイクロの製品では、「ELF_MANUST.A」として検出されます。
この脆弱性は、数カ月前に確認されたものであるにもかかわらず、この1週間、いまだ多くの攻撃での利用が確認されていました。その答えは単純です。すべてのユーザが、さまざまな事情のため、更新プログラムを定期的に適用しているわけではないからです。企業の IT管理者は、業務の中断を避けるなど、さまざまな側面を考慮しなければなりません。またこの他、更新プログラムが確実に機能するかの確認や、予期しない反応に備えた計画的な遅延も考慮する事柄に含まれるでしょう。詳細は、こちらを御覧ください。
一方、本事例は、更新プログラムの適応を怠ることの危険性を証明したものと言えます。特に、攻撃方法が確認されている脆弱性を修正していないコンピュータの場合、そのコンピュータが攻撃され侵入を受ける危険性が高まります。トレンドマイクロは、引き続きこの脅威を監視し、随時更新情報を公開します。
■トレンドマイクロの対策:
前回記事でも紹介していますが、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、以下のフィルタを適用することにより、問題のRuby on Railsの脆弱性を利用した攻撃から保護されます。
これらのフィルタを適用することで、弊社製品は、この脆弱性に関連するネットワークトラフィックをブロックし、脆弱性の利用を防ぐことが可能になります。
参考記事:
by Gelo Abendan (Technical Communications)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)