Aqua Securityは7月26日(米国時間)、「Tomcat Under Attack: Exploring Mirai Malware and Beyond」において、近年のTomcatサーバへの攻撃内容とその傾向を伝えた。

  • Tomcat Under Attack: Exploring Mirai Malware and Beyond

    Tomcat Under Attack: Exploring Mirai Malware and Beyond

Aqua Securityの分析によると、近年Tomcatへの攻撃はTomcat Webアプリケーションマネージャの設定ミスにより発生していると指摘している。Tomcat Webアプリケーションマネージャへのアクセスは、一般的なユーザー名とパスワードによる認証で行われており、ブルートフォース攻撃により認証が突破されることでシステムが侵害される。

Tomcat WebアプリケーションマネージャにはWebアプリケーションを配置する機能がある。攻撃者はこの機能を悪用してリモートから任意のコマンドを実行するWebアプリケーションを配置する。ここまで攻撃が進行すれば、あとは自由にシステムへの介入が可能となる。

攻撃者は配置したWebアプリケーションを使い、マルウェアをダウンロード・実行・隠蔽するシェルスクリプトを実行する。その後、シェルスクリプトやコマンド履歴の削除などを行い証拠を隠滅し、システム管理者に気づかれないようにする。

Aqua Securityによると、実行されるマルウェアは以下の3タイプに分けられるという。

  • Miraiボットネット: 分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)およびクリプトマイニングキャンペーンを行う
  • クリプトマイニング: 暗号資産をマイニングする
  • カオスマルウェア: ランサムウェアのアップグレード版。最近では分散型サービス拒否攻撃の亜種としても発見されている

Aqua Securityはこの脅威に対し、次のように対処することを推奨している。

  • 環境を適切に設定し、ブルートフォース攻撃で認証を突破されないようにする
  • システムに未知の脅威がないか、定期的に脅威のスキャンを行う
  • システムの開発者やセキュリティチームに脆弱性や設定ミスを検出できるツールを提供する

攻撃者は攻撃の足がかりとして脆弱な認証システムをブルートフォース攻撃で突破することが多い。システム管理者は認証システムがブルートフォース攻撃に耐えられるか、定期的にテストすることが望まれる。