トレンドマイクロは、「Plesk」の旧バージョンに影響を及ぼすエクスプロイトコード(脆弱性攻撃コード)を監視しています。このエクスプロイトコードは、攻撃者が脆弱性の影響を受けた Webサーバを完全に制御することを可能にするものです。Plesk とは、米「Parallels」の人気ホスティング向けコントロールパネルです。今回の脆弱性の対象となる旧バージョンは、既にサポート期限が切れており、修正プログラムが存在しないゼロデイ攻撃の状態となっています。これはつまり、問題のエクスプロイトコードの影響を受ける Plesk の旧バージョンを利用する、すべての Webサイトが被害を受ける危険性があることを意味します。今回確認されたエクスプロイトコードの影響範囲に関しては、Parallels の情報をご参照ください。
Plesk の脆弱性については、これまでも Web サイト改ざんの被害原因として指摘されてきました。日本の JPCERT では4月の時点で、旧バージョンの Plesk の利用に関する注意喚起を出しています。今回、また新たなエクスプロイトコードが確認されたことにより、Web 改ざんの危険性は一層高まったことになります。旧バージョンの Plesk を使用中の Web 管理者は、直ちに最新バージョンへのアップデートを行うことを推奨します。ただし、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のお客様は、この脅威から保護されます。
2013年6月5日、「Kingcope」と名乗る人物が、メーリングリスト「Full-Disclosure」上でこの脆弱性に対するエクスプロイトコードを初めて報告しました。この脆弱性は、該当のエクスプロイトコードによって容易に利用され、その結果、Web サービスに対する特権を持つコンピュータのセキュリティが完全に侵害されてしまうことになります。なお、影響を受けたアプリケーションにおける PHP の不適切な設定が、この脆弱性の原因です。
Kingcope によって公開されたこのエクスプロイトコードは、引数によってPHP のインタプリタを直接呼び出します。例えば、「allow_url_include」という引数は、攻撃者にあらゆる PHP スクリプトを URL に含ませることを可能にし、また「suhosin.simulatio」は、シミュレーションモードにする際に利用されるもので、保護機能の低下に繋がります。
Plesk は、Webサーバ「Apache」におけるデフォルト設定である「scriptAlias/phppath/”/usr/bin/”」を利用しています。この設定は、攻撃者が「/phppath」をリクエストすると、ディレクトリ “/usr/bin” が直接呼び出されることを意味します。
つまり攻撃者は、不正な引数を持つ PHP のインタプリタを呼び出すことによって、簡単にこの脆弱性を利用することが可能となるのです。
今回の脆弱性は、PHP のインタプリタが直接呼び出されることから、「CVE-2012-1823」で対応された脆弱性とは異なります。Kingcope は、エクスプロイトコードによってこの違いを明確にしています。また、SSL 型のエクスプロイトも作成している点は注目に値します。そして、Plesk のバージョン 8.6、9.0、9.2、9.3.0 および 9.5.4上でこのエクスプロイトが検証されたとも述べています。
ただし、NTTデータ先端技術社が行ったエクスプロイトコードの影響範囲について検証では、、9.3.0 および 9.5.4 に関しては影響を受けないことが確認されています。
一方で Kingcope は、このエクスプロイトが Plesk の最新のバージョンでは動作しないことも言及していました。6月3日のブログ記事でも触れたように、すべてのユーザが、さまざまな事情のため、サーバの更新や更新プログラムの適用を定期的に実施しているわけではありません。そのため、今後 Plesk がサポートするサイトでこの脆弱性によって影響を受けるものが確認されるかもしれません。
Parallels によると、今回の脆弱性は、Plesk の旧バージョンのみに存在し、PHP の CGIモードに関連する脆弱性として昔から知られている「CVE-2012-1823」の変化形のようです。また、現在ライセンスされている Plesk のうち、このエクスプロイトコードの影響を受けるものは4%未満であることをブログ(英語情報)にて公表しています。現在サポートされている以下のバージョンには、この脆弱性が存在しませんので、攻撃を受ける危険性はありません。
脆弱性の影響を受けないバージョン
- Parallels Plesk Panel 9.5
- Parallels Plesk Panel 10.x
- Parallels Plesk Panel 11.x
- Parallels Plesk Automation
Parallels Plesk Panel のサポートが切れた旧バージョンを利用しているユーザは、最新バージョンに更新してください。なお、旧バージョンの脆弱性の詳細に関しては、こちらをご参照ください。
「Trend Micro Deep Security」をご利用のお客様は、最新の侵入防御(DPI)ルールへ更新し、以下のフィルタを適用することにより、問題の脆弱性を利用した攻撃から保護されます。
- 1005529 – Parallels Plesk Remote PHP Command Execution Vulnerability
今回の深刻な脆弱性の報告を受けて、トレンドマイクロは、お客様および Plesk を使用するすべてのユーザに Apache の設定から「scriptAlias /phppath/”/usr/bin/”」の行にはコメントを施し、またPleskのコントロールパネルページで認証の有効化を設定することを推奨します。また、ご使用のサーバを脆弱性から守るために、こちら(英語情報)をご参照ください。
参考記事:
- 「Plesk Zero-Day Exploit Results in Compromised Webserver」
by Sooraj KS (Vulnerability Researcher)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)
【更新情報】
| 2013/06/19 | 18:45 | 脆弱性の影響範囲について本文を一部更新しました。 |