最終更新: 2013-04-08
旧バージョンの Parallels Plesk Panel の利用に関する注意喚起
各位
JPCERT-AT-2013-0018
JPCERT/CC
2013-04-08
<<< JPCERT/CC Alert 2013-04-08 >>>
旧バージョンの Parallels Plesk Panel の利用に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130018.html
I. 概要
JPCERT/CC では、サーバ上に不正な Apache モジュールが設置されたことに
より、Web サイト閲覧時に意図しない JavaScript が挿入される Web 改ざん
に関する報告を多数受けています。改ざんされたサイトを閲覧した場合、結果
としてユーザの PC がマルウエアに感染する可能性があります。
弊センタ―にて入手した情報によると、これらのサイトでは、サポート期限
切れのバージョンを含む旧バージョンの Parallels Plesk Panel が多く使わ
れているとのことです。Parallels Plesk Panel が稼働しているサーバには、
付随する様々なソフトウエア(MySQL、BIND、phpMyAdmin 等)がインストールさ
れている可能性があり、ユーザはこれらのソフトウエアを使用している認識が
薄いため、脆弱性を内在した古いバージョンで稼働している場合が多くありま
す。
今回の不正な Apache モジュール設置に関する Web 改ざん事例の全てが脆
弱性を起因とするものであるとは確認できていませんが、脆弱性を内在した状
態で運用を行っている場合、攻撃者によって脆弱性を突かれ、Web 改ざんなど
の被害を受ける可能性がありますので、未然防止の観点から、Parallels
Plesk Panel 本体だけでなく、OS や製品に含まれるその他のソフトウエアも
含め、最新の状態にアップデートすることをお勧めします。
一部の攻撃では、旧バージョンの Parallels Plesk Panel に存在する SQL
インジェクションの脆弱性を用いてアカウント情報が窃取されたり、初期設定
のパスワードや簡易なパスワードを設定している場合には辞書攻撃によりアカ
ウント情報が特定されて、不正なログインが行われている事例を確認していま
す。また、ログイン後、Parallels Plesk Panel の cron manager 機能を用い
て不正なスクリプトを動作させ、結果として不正な Apache モジュールが設置
されている事も確認しています。
II. 対策
Web サイトの管理用に Parallels Plesk Panel を使用している場合は、以
下の対策をご検討ください。
- Parallels Plesk Panel を最新のバージョンに更新する
- サーバに含まれる OS、ソフトウエアを最新に更新する
- Parallels Plesk Panel へのアクセス制限を行う
(特定の IP アドレスに限定するなど)
- 安全性の高いパスワードを設定する
- 使用する Parallels Plesk Panel の設定画面から root 権限でのタスク
実行を禁止する(*1)
(*1) 初期設定では、Parallels Plesk Panel は以下のケースで、ユーティリ
ティやスクリプトを root 権限で実行することを許可しています。
- cron manager でのタスクのスケジューリング (バージョン 8 〜 11)
- Event Manager tool でのイベントハンドリング (バージョン 11)
これらの操作を禁止するためには、以下のパス及びファイル名で空ファイルを
作成してください。$PRODUCT_ROOT_D は、RPM ベースのシステムでは
/usr/local/psa、DEB ベースのシステムでは /opt/psa と読み替えてください。
$PRODUCT_ROOT_D/var/root.crontab.lock
$PRODUCT_ROOT_D/var/root.event.handler.lock
詳細は以下の「Protecting from Running Tasks on Behalf of root」を参照
してください。
Enhancing Security
http://download1.parallels.com/Plesk/PP11/11.0/Doc/en-US/online/plesk-linux-advanced-administration-guide/68755.htm
III. 参考情報
Parallels
Parallels Plesk Panel 11.0 for Linux リリースノート
http://download1.parallels.com/Plesk/PP11/11.0/release-notes/ja-JP/parallels-plesk-panel-11.0-for-linux-based-os.html
Parallels
Parallels Plesk Panel のセキュリティに関するベストプラクティス
http://kb.parallels.com/jp/114620
Parallels
Enhancing Security
http://download1.parallels.com/Plesk/PP11/11.0/Doc/en-US/online/plesk-linux-advanced-administration-guide/68755.htm
トレンドマイクロ
国内外におけるWebサーバ(Apache)の不正モジュールを使った改ざん被害
http://blog.trendmicro.co.jp/archives/6888
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
- 2015-02-12
- 内閣官房内閣サイバーセキュリティセンターと国際連携活動及び情報共有等に関するパートナーシップを締結
- 2015-02-09
- 分析センターだより「Dridexが用いる新たなUAC回避手法」を公開
- 2015-01-28
- ソフトウエア等の脆弱性関連情報に関する届出状況/活動報告レポート2014年第4四半期(10月-12月)
- 2015-01-27
- インターネット定点観測レポート(2014年 10~12月)を公開
・分析センターだより「Dridexが用いる新たなUAC回避手法」
・分析センターだより「マルウエアPlugXの新機能」
・採用情報
・IPv6セキュリティテスト検証済み製品リスト
・セキュリティ対策チームの構想、構築、運用のためのCSIRTマテリアル
・標的型攻撃への予防 ITセキュリティ予防接種調査報告書
講演資料公開中
・「Android Secure Coding」
・「Recommendation of Perfect Unpacking」
・「Webアプリケーション開発におけるHTML5のセキュリティ」
・「HTML5 Security & Headers - X-Crawling-Response-Header-」
・「Fight Against Citadel in Japan」
・「あなたも狙われている!? インターネットバンキングの不正送金とマルウエアの脅威 」
・「今から始めるHTML5セキュリティ」
JPCERT/CC職員の講演・執筆活動一覧をご覧いただけます。