VulnCheckは7月17日(米国時間)、「The Linuxsys Cryptominer |Blog|VulnCheck」において、Apache HTTPサーバの脆弱性を悪用するサイバー攻撃を発見したと報じた。

この攻撃は2021年から観測されている古い手法を用いるが、現在もある程度の成功を収めているとして速やかな対策の実施を呼びかけている。

  • The Linuxsys Cryptominer |Blog|VulnCheck

    The Linuxsys Cryptominer |Blog|VulnCheck

侵害経路

今回の攻撃ではApache HTTPサーバの脆弱性「CVE-2021-41773」が悪用された。この脆弱性はパストラバーサルの脆弱性とされ、悪用されると任意のコードを実行できる可能性がある。

脆弱性の悪用に成功した攻撃者は、「repositorylinux[.]org」にてホストされる悪意のあるスクリプトをダウンロードし、標的のサーバ上で実行する。次にスクリプトは5つの異なる侵害されたホストから設定ファイルと暗号資産マイナー「Linuxsys」をダウンロードして実行する。

これら侵害されたホストからは、永続性を確保するスクリプトの「cron.sh」とWindows向けの実行可能ファイル「nssm.exe」および「winsys.exe」が発見されているが、いずれもこの攻撃で用いられた形跡はないという。

歴史のある攻撃キャンペーンと対策

暗号資産マイナー「Linuxsys」を配布する同様の攻撃は古くから観察されている。VulnCheckによると2021年12月に初めて報告がなされ、その後も4年間、今回悪用された脆弱性を含め7種類の脆弱性を使い分けて攻撃を継続しているとされる。

長期間にわたる攻撃を可能にしている理由としては、慎重な標的選びが指摘されている。攻撃者はハニーポット(研究者などが設置する罠)を避けるために、インタラクションの少ないサーバを排除している可能性があるという。

今回はApache HTTPサーバの古い脆弱性を悪用していることから、同ソフトウェアを運用しているWebサーバの管理者に対し、最新バージョンにアップデートすることが推奨される(参考:「JVN#51106450: Apache HTTP Server におけるディレクトリトラバーサルの脆弱性」)。

また、VulnCheckは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて対策に活用することが望まれている。