日曜日, 5月 02, 2010

サーバセキュリティ情報、最新版バーションを使っていますか?

最近海外有名なホスティンッグサイトに結構沢山exploit経由ハッキングを攻撃をされておりました。例え4月19日のNetwork Solutionのホスティンッグサーバの事件です。何故この動きがありますかと?原因は単純です。殆ど海外のホスティングサーバには色んなSNSツールを標準でインストールされており、それぞれのツールはりアルタイムでセキュリティメンテナンスをアップグレードされてません。詰り、結構使われたツールはブログソフト「Wordpress」や「MT」ソフト、若しくはコンテンツマネージャソフト(CMS)詰り「Drupal」と 「Joomla!」です。

ではNetwork Solutionの事件ケースだけを良く見ましょう。
WordPressソフトをNetwork Solutionホスティンッグ会社のサーバに標準にインストールされております。4月19日の前に大変高いレベルWordPressのセキュリティエクスプロイトが出ました。マルウェア仕組みを作った人達はこの二つ情報を分かった上で時間の勝負で先にマルウェア仕組みをNetSolに動き差しました。

因みに何故かWordPressですか?

先ずはWordpressと感染されたサイトの数割合を説明します↓
1)一つ情報(ZSCLALERセキュリティリサーチより)マルウェアIFRAMESとマルウェアJavascriptに感染されたのサイトは68%の割合はWordpressソフトで作られたサイトです。
2)別の情報(US CERTより)感染されたサイトの数を見たら87%はWordpressソフトが入っています。

原因はこれからの説明となります↓
現在の最新版Wordpressソフトバーションは 2.9.2です。
バーション情報は簡単に確認が出来ます、HTMLのページ@METAタグの所に書いてあります↓


マルウェアに感染されたWordPressに付いてバーションの割合データがあり 下記となります↓


この割合データを見たらwordpress最新版バーションをマルウェアに感染されました。「何故か最新版バーションも感染されるかと」これに付いて詳しく調べたら 最新版Wordpressバーションをインストールしたけどソフトの便利なPluginのバーションが古いままなのでPlugin経由でマルウェアに感染されたと。
ポイントは全て感染になれる情報は前々からセキュリティ情報がちゃんと出ましたのに安全なバーションを提供するのは遅いです。

感染されたらどうになりますか?下記のコードをご覧下さい。

Java Debuggerで上記のコードを見ました。このコードは感染されたWordpressを使ったページから取りました。このコードを見ると分かると思いますが、このページにアクセスが来ますとマルウェアサイトに転送されます。これはただの1つサンプルです、もっと酷いサンプルもあります、詰りJavascriptでスパムメールを送れる仕組みです。

本件の内容は何故か書きましたかと、セキュリティアップデートは時間の勝負です、常識リソースや予算を使えます。でも、もしサーバソリューションでセキュリティ事件が起きたらもっとリソースや予算を使うから、大事なサービスに付いて、ちゃんと上手く最新バーションのアップグレード仕組みを作りましょう。
---
株式会社ケイエルジェイテック
http://www.kljtech.com
ウイルスモニターセンター

0 件のコメント:

コメントを投稿