「Webmin」利用者は確認を、bash脆弱性を狙ったスキャンが増加

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は10日、ウェブベースのシステム管理ツール「Webmin」を標的にしていると思われるスキャンの増加を確認したとして、注意を喚起した。

　JPCERT/CCによると、TCP 10000番ポートへのスキャンが2014年9月下旬より増加していることが、JPCERT/CCが運用するインターネット定点観測システム（TSUBAME）において確認された。

　TCP 10000番ポートは、ウェブベースのシステム管理ツール「Webmin」の標準ポートとして利用されることが多く、開発者によるとWebminは先日公開されたGNU bashの脆弱性の影響を受けるという。JPCERT/CCでは、Webminと脆弱性の影響を受けるバージョンのGNU bashが動作する環境で、Webminの権限で任意のコードが実行可能であることを確認した。

　また、TCP 10000番ポートへのスキャンを行ってきた一部の送信元IPアドレスについては、Webminのログイン画面と推測される応答が確認されている。このことから、Webminが稼働するサーバーが攻撃により第三者への攻撃の踏み台とされ、さらにTCP 10000番ポートに対するスキャンが増加していると推測されている。

　JPCERT/CCでは、10月10日現在もTCP 10000番ポートを対象としたスキャンが継続しており、今後も対策を行っていないサーバーが攻撃を受け、第三者への攻撃などに使用される可能性があると指摘。サーバーの管理者に対して、影響を受けるバージョンのWebminおよびGNU bashを使用している場合には、アップデートなど対策を行うよう呼び掛けている。