インフィニティソリューションズ株式会社ブログ

Apacheウェブサーバは要注意

ソフトウェアに脆弱性が発見された際、問題が広く公表される前に、その脆弱性を悪用して攻撃をしかけることをゼロデイアタックと呼ぶ。SD Timesの記事によれば、ゼロデイアタックの第一ターゲットはSSH、その次がSSLらしい。だが実際のところ、最大かつ最悪のゼロデイアタックは、ウェブサーバとして最も広く利用されているApacheウェブサーバのものだという。

‘But hacking the Apache Web Server isn’t easy. It’s a hardened application, and when an Apache zero-day is out there in the wild, it typically doesn’t take long for the security world to realize it. After all, when a whole bunch of very high-profile sites get hacked in close time proximity to one another, you’d do well to put your money on there being an Apache zero-day in the hands of some motivated hackers.’

「だが、Apacheウェブサーバをハッキングするのは簡単ではない。強固なアプリケーションであり、Apacheのゼロデイが発見されると、セキュリティの世界で認識されるのにさほど時間がかからないからだ。結局、目立つサイトの多数が次々にハッキングされれば、Apacheゼロデイは積極的なハッカーの手にあるとして、金をかける(防御する)だろう。」

hacker

Image courtesy of Salvatore Vuono at FreeDigitalPhotos.net

’So, hackers have taken to a new tactic: replacing or augmenting Apache on a compromised system. The Sucuri Blog has written about this.’

「だから、ハッカーは新しい戦術を取ってきている。ハッキングしたサイトでApacheを入れ替えるあるいは拡張するのだ。Sucuri Blogではこう書かれている。」

‘Sucuri explained that hackers have been installing nefariously designed Apache mods to maintain control over servers they’ve compromised. But that wasn’t enough, evidently: “During the last few months, we started to see a change on how the injections were being done. On cPanel-based servers, instead of adding modules or modifying the Apache configuration, the attackers started to replace the Apache binary (httpd) with a malicious one. This new backdoor is very sophisticated, and we worked with our friends from ESET to provide this report on what we are seeing,” wrote Sucuri’s Daniel Cid.’

「ハッカーは、ハッキングしたサーバのコントロールを維持するために、悪意を持って設計されたApache修正コードをインストールしていると、Sucuriは説明している。もちろんそれだけでは十分ではない。『過去数ヶ月、仕込みの方法に変化が見えてきている。cPanelベースのサーバでは、モジュールを足したり、Apacheの構成を変更する代わりに、アタッカーは、Apacheのバイナリ(httpd)を悪意あるコードに置き換え始めている。この新しいバックドアは、非常に賢く、これまで分かっていることをここで報告するために、ESETの友人と共同作業してきた』とSucuriのDaniel Cid氏は書いている。」

‘What does this mean? It means you’d better check your MD5s on Apache installations. All the security in the world can’t fix a Web server that’s been compromised at the binary level. Stay safe, and trust no binaries!’

「これは何を意味するのか。インストールされているMD6をチェックした方がいいということだ。あらゆるセキュリティ対策が、バイナリレベルでハッキングされたウェブサーバを修復できるわけではない。ご安全に。そしてバイナリを何も信じるな!」