ニュース

「Webmin」利用者は確認を、bash脆弱性を狙ったスキャンが増加

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は10日、ウェブベースのシステム管理ツール「Webmin」を標的にしていると思われるスキャンの増加を確認したとして、注意を喚起した。

 JPCERT/CCによると、TCP 10000番ポートへのスキャンが2014年9月下旬より増加していることが、JPCERT/CCが運用するインターネット定点観測システム(TSUBAME)において確認された。

 TCP 10000番ポートは、ウェブベースのシステム管理ツール「Webmin」の標準ポートとして利用されることが多く、開発者によるとWebminは先日公開されたGNU bashの脆弱性の影響を受けるという。JPCERT/CCでは、Webminと脆弱性の影響を受けるバージョンのGNU bashが動作する環境で、Webminの権限で任意のコードが実行可能であることを確認した。

 また、TCP 10000番ポートへのスキャンを行ってきた一部の送信元IPアドレスについては、Webminのログイン画面と推測される応答が確認されている。このことから、Webminが稼働するサーバーが攻撃により第三者への攻撃の踏み台とされ、さらにTCP 10000番ポートに対するスキャンが増加していると推測されている。

 JPCERT/CCでは、10月10日現在もTCP 10000番ポートを対象としたスキャンが継続しており、今後も対策を行っていないサーバーが攻撃を受け、第三者への攻撃などに使用される可能性があると指摘。サーバーの管理者に対して、影響を受けるバージョンのWebminおよびGNU bashを使用している場合には、アップデートなど対策を行うよう呼び掛けている。

(三柳 英樹)