[SECURITY] BHEK2とPlesk Panelとの関連は?

3月頃に被害が急増し、未だにホロホロと検知されるBHEK2によるマルウェア配布サイトへの誘導。

最初はどうやってApacheに不正なモジュールを追加できたのかわからず、自分の所も被害を受けないかと怖かったが、IIJ-SECTのブログによると、Plesk Panelというサーバ管理ツールが何か関係しているような情報もあって、自分のところはたぶん影響は無いだろうと安心している(希望的観測に過ぎないが)。

BHEK2による改竄では、同じページを閲覧しても改竄されて表示されたり、普通に表示されたりする。サーバ上にあるHTMLやJSファイルは改竄されていないので、被害に気付きにくい。

改竄されて表示されるとき、JavaScriptのdocument.write()で、iframeタグを書いている。その位置指定がleft:-1659; top:-1825なんて表示領域外にされてる。(数値は変わるかもしれない)
そのため、改竄サイトを踏んだ人は気づかない。

今回のジャンプ先はある意味わかりやすい。正規表現で書くと、/[0-9a-f]{32}\/q\/.php/か、[0-9a-f]{16}\/q\.php/で捕捉できる。

私はまだ一件もダウンロードが可能な状態のマルウェア配布サイトをみつけたことはないが、不正モジュールを仕込まれたサイトはいくつか発見している。
その中で、BHEK2による改竄について、閲覧者に被害に関する情報を掲載している被害サイトはただ一件だけであった。連絡手段があるサイトにはBHEK2にやられてる旨、連絡もしている。
そこのサイトはウィルス感染の可能性も公表し、フリーダイヤルのサポート窓口まで用意していた。
対応としては100点をあげたい。

しかし、中にはパソコンのFAQサイトみたいなところもあって、運営者と利用者の性質上、知らんふりは問題があるんじゃないかというサイトまである。(FAQに質問してみようかなぁ)

被害サイトのサービス提供業者は、GMOクラウド、WADAX(GMOクラウドとWADAXは同一?)、使えるねっと、ファーストサーバと、比較的大手のホスティング・クラウドサービスだった。
それらに共通するのが、Plesk Panelによるサーバ管理ツールを提供している点である。
なお、これらは実際に見つけた改竄サイトのサーバを提供している業者のみで、他の業者は大丈夫かどうかは分からないし、Plesk Panelが入ってない改竄被害サイトもあるらしいので(私が見つけた中ではなかった)、まだ確信はできない。

ただ、Plesk Panelの販売元のページには目立つニュースリリースには何の情報も掲載されていないが、JVNが公表した情報から手繰れるナレッジスペースのところに、危険度のスコアの低い脆弱性情報が出ていた。

前述の、被害サイトを抱えていたホスティング・クラウド業者のサイトでは、唯一GMOクラウドのみが前述の脆弱性があるという情報と、対策手順のみで、改竄被害の情報や、その被害の確認方法、復旧方法などは書かれていなかった。今のところ改竄被害とPlesk Panelの脆弱性の関連性は不明。

脆弱性を悪用できる内容は、認証済みのユーザがroot権限まで昇格できるというものなので、考えられるのはブルートフォース攻撃や辞書攻撃で愚かなパスワードを設定していたものを奪取したか、PCがトロイの木馬に感染してパスワードを盗まれたユーザの認証情報でログインし、昇格したのかもしれない。

たぶんこの脆弱性が悪用されたんだろうけど、件の開発元の情報には「上記脆弱性の悪用は報告されていません」と書いてある…。BHEK2の被害と関連があるならば、それなりに注意喚起してもらいたいが…。

これ以上は外部から調べることは難しそうだ…。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です