Aqua Securityは7月26日(米国時間)、「Tomcat Under Attack: Exploring Mirai Malware and Beyond」において、近年のTomcatサーバへの攻撃内容とその傾向を伝えた。
-
Tomcat Under Attack: Exploring Mirai Malware and Beyond
Aqua Securityの分析によると、近年Tomcatへの攻撃はTomcat Webアプリケーションマネージャの設定ミスにより発生していると指摘している。Tomcat Webアプリケーションマネージャへのアクセスは、一般的なユーザー名とパスワードによる認証で行われており、ブルートフォース攻撃により認証が突破されることでシステムが侵害される。
Tomcat WebアプリケーションマネージャにはWebアプリケーションを配置する機能がある。攻撃者はこの機能を悪用してリモートから任意のコマンドを実行するWebアプリケーションを配置する。ここまで攻撃が進行すれば、あとは自由にシステムへの介入が可能となる。
攻撃者は配置したWebアプリケーションを使い、マルウェアをダウンロード・実行・隠蔽するシェルスクリプトを実行する。その後、シェルスクリプトやコマンド履歴の削除などを行い証拠を隠滅し、システム管理者に気づかれないようにする。
Aqua Securityによると、実行されるマルウェアは以下の3タイプに分けられるという。
- Miraiボットネット: 分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)およびクリプトマイニングキャンペーンを行う
- クリプトマイニング: 暗号資産をマイニングする
- カオスマルウェア: ランサムウェアのアップグレード版。最近では分散型サービス拒否攻撃の亜種としても発見されている
Aqua Securityはこの脅威に対し、次のように対処することを推奨している。
- 環境を適切に設定し、ブルートフォース攻撃で認証を突破されないようにする
- システムに未知の脅威がないか、定期的に脅威のスキャンを行う
- システムの開発者やセキュリティチームに脆弱性や設定ミスを検出できるツールを提供する
攻撃者は攻撃の足がかりとして脆弱な認証システムをブルートフォース攻撃で突破することが多い。システム管理者は認証システムがブルートフォース攻撃に耐えられるか、定期的にテストすることが望まれる。
