アーカイブ
phpMyAdminの脆弱性を狙った攻撃について
2011年12月16日 | 注意喚起
株式会社ラック(本社:東京都千代田区、代表取締役社長: 齋藤理、以下ラック)は、phpMyAdminの脆弱性を狙った攻撃について、その特徴や手口の傾向が判明した為、本日、注意喚起を公表します。
内容
最近の緊急対応サービス「サイバー119」において、phpMyAdminの脆弱性を狙った攻撃による被害相談が複数寄せられています。この脆弱性は、CVE-2011-2505, CVE-2011-2506を組み合わせると、任意のコード実行が可能になる脆弱性です。
以下の条件を満たす場合、外部から任意のコードを実行可能です。
■ phpMyAdminを使用しており、外部からアクセス可能である。
setup/index.phpとsetup/config.phpを外部から実行できる
phpMyAdminのconfigディレクトリが存在し、PHPスクリプトから書き込みができる
config/config.inc.phpを外部から実行できる
■ phpMyAdmin バージョン3.3.10.2未満または、phpMyAdmin バージョン3.4.3.1未満
※本情報は、HASHコンサルティング株式会社 徳丸 浩様のブログ(http://d.hatena.ne.jp/ockeghem/20110808/p1)より引用をさせていただきました。
また、引用に関する謝辞を記載漏れしたことをお詫び申し上げます。
サイバー救急センターでこれまでに確認された攻撃手法は、phpのコードを実行し、コネクトバックシェルを起動する手法です。これにより、攻撃者は自身のサーバ上で、Webサーバの動作ユーザ権限で任意のコマンドを実行可能です。
対策
■ phpMyAdminバージョン3.3.10.2または3.4.3.1以上へのアップグレード
※現在の最新版は3.4.8です。
また、phpMyAdminが外部からアクセス可能な状態になっていないか確認してください。
本脆弱性に限らず、通常phpMyAdminは外部に対して公開する必要はありません 外部からのアクセスが可能な場合、Apacheのアクセス制限機能を使用し、アクセス制限を行ってください。