アーカイブ
Tomcatのマネージャ機能に関する注意喚起
2009年3月27日 | 注意喚起
最近の緊急対応サービス【個人情報119】において、連続的に「Tomcatのマネージャ機能の悪用」によるWebバックドアのインストール被害が発生しております。
攻撃が成立した場合、Tomcatのwebappsフォルダ内に悪意のあるwarファイルがインストールされます。多くの場合warファイルは多機能なバックドアであり、Tomcatのユーザ権限でサーバ内の任意のファイルのダウンロード、アップロード、コマンドの実行が可能になります。
Tomcatのマネージャを標的とした攻撃手法は目新しくはありませんが、Tomcatをご利用中のサーバ管理者の方は、念のため現在の設定状況をご確認されることをお勧めします。
被害の原因は以下の3点です。なお、攻撃が成立するためには3点がすべて当てはまる必要があります。
1.ファイアウォールのフィルタリング不備
Tomcat使用ポート(8080/tcpなど)が意図せずにインターネットに公開されている
2.Tomcatユーザ(conf/tomcat-users.xml)の脆弱なパスワード
adminのパスワードが「admin」や「パスワードなし」など
意図しないマネージャ機能の公開
意図せずにマネージャアプリケーションが起動している
まずはTomcatのwebappsディレクトリ内に覚えのないディレクトリやwarファイルがないか被害有無の確認をしてください。