古いセキュリティ脆弱性が、新しいテクノロジー「モノのインターネット(Internet of Things : IoT)」の脅威となっている。

11月27日、セキュリティ企業 Symantec は PHP の脆弱性を利用して拡散する Linux ワーム「Linux.Darlloz」を発見。家庭用のルーターやプリンター、防犯カメラといったインターネット接続可能な「IoT」機器に影響を与える可能性があると報告した。

12月4日、Cisco のセキュリティ研究者は、やはり PHP の脆弱性を突く「Linux.Trojan.Zollard」による攻撃が確認されたと報告した。

PHP の脆弱性を突く Linux マルウェアやワーム、IoT をターゲットに
Cisco の Craig Williams 氏
Cisco の Craig Williams 氏は eWeek に対し、攻撃で利用されている脆弱性は、「CVE-2012-1823」(PHP の「php-cgi」に存在する情報漏えいの脆弱性)として認識されているものだと説明した。2012年5月2日にリリースされた 5.4.2 以降の PHP にはこの脆弱性に対するパッチが適用されている。だがパッチ未適用の 5.4.1 とそれ以前のバージョンの PHP は、この攻撃による影響を受ける。

Cisco は10月に買収を完了したセキュリティベンダー Sourcefire と共同で、Cisco 製品を利用する顧客の調査を実施。アタッカーによるこの脆弱性を突いた攻撃を確認した。

Williams 氏は、パッチ未適用のシステムが存在する限り、攻撃は続くだろうと述べた。

「この脆弱性を突くのは容易で、これが攻撃者のモチベーションとなっている。脆弱性を持つバージョンの PHP はいまも広く利用されているため、攻撃は長期的な問題となる可能性がある」

攻撃者はこの脆弱性を突き、マルウェア「Linux.Trojan.Zollard」を感染させる。PHP は様々なタイプのサーバー上で利用されているが、攻撃は現時点では Linux が稼働している組み込みデバイスをターゲットとしているという。

「アタッカーは PHP の脆弱性を突き、サーバーに Zollard マルウェアをダウンロードして、実行している」

デバイスに Zollard マルウェアが感染した場合、マルウェアは「httpd」Web サーバーと同等のアクセス権で振る舞うことが可能になる。例えば、サーバー内のコンテンツをアタッカーに送信することも可能だ。

この脆弱性からデバイスを保護するには、PHP にパッチを適用するのが最良の方法だ。だがパッチを適用するのが容易ではないケースもある。

「問題は、多くの組み込みデバイスは正しくメンテナンスされていないことだ。中には、アップデートできないデバイスも存在する。もしそのようなデバイスがインターネットに接続されている場合、デバイスを侵入防止システム(Intrusion Prevention System:IPS)で保護する必要がある」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。