PHPの緊急脆弱性が狙われる、大学に未知のバックドア
マイナビニュース / 2024年8月24日 20時56分
Symantecは8月20日(米国時間)、「New Backdoor Targeting Taiwan Employs Stealthy Communications|Symantec Enterprise Blogs」において、6月に発見されたPHPの緊急の脆弱性が悪用され、台湾の大学に新しいバックドア「Msupedge」がインストールされたと報じた。悪用された脆弱性は「CVE-2024-4577」として追跡されているもので、詳細は「WindowsのPHPサーバーに緊急の脆弱性、確認とアップデートを | TECH+(テックプラス)」にて報じている。
○侵害経路
Symantecの調査によると、初期の感染経路は脆弱性「CVE-2024-4577」を悪用したリモートコード実行(RCE: Remote Code Execution)の可能性が高いという。脆弱性の悪用を特定できる証拠は確認できていないが、複数の脅威アクターがここ数週間、脆弱なシステムをスキャンしていたことを確認したと説明している。
○新しいバックドア「Msupedge」
発見されたバックドア「Msupedge」は新しいマルウェアとされる。このバックドアからはコマンド&コントロール(C2: Command and Control)サーバとの通信にDNSトラフィックを使用する珍しい機能が確認されている。
Symantecの調査によると、侵害されたWindows環境には次のファイルがインストールされるという。
csidl_drive_fixed\xampp\wuplog.dll
csidl_system\wbem\wmiclnt.dll
いずれもMsupedge本体とされ、いずれかがロードされることで機能する。wuplog.dllはApacheによりロードされるが、wmiclnt.dllをロードするプロセスは明らかになっていない。
Symantecの分析により判明したバックドアの機能は次のとおり。
任意コマンドの実行
ファイルのダウンロード
ファイル「%temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp」の作成および削除
○対策
PHPの脆弱性はすでに修正されている。影響を受けるバージョンのPHPおよびWindowsシステムを運用している管理者は、速やかなアップデートが推奨されている。アップデートが困難な場合はApacheの設定を変更することで影響を一時的に軽減することができる。
(後藤大地)
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年7月に最も活発だったマルウェアを発表 国内ではAndroxgh0st が依然首位、世界的なRemcosとRansomHubの蔓延を確認
PR TIMES / 2024年8月22日 13時45分
-
Appleがオープンソースの画像生成AIモデル「MDM」をGitHubで公開/Windowsに深刻な脆弱性 ゼロクリック攻撃で
ITmedia PC USER / 2024年8月18日 6時5分
-
Apache OFBizに緊急の脆弱性、アップデートを
マイナビニュース / 2024年8月13日 10時32分
-
Windowsの通信を悪用する新しいバックドア「BITSLOTH」発見、中国関与か
マイナビニュース / 2024年8月5日 9時9分
-
エレコムの無線LANルータに複数の脆弱性、確認を -JPCERT/CC
マイナビニュース / 2024年8月1日 10時28分
ランキング
-
1「思わず注文した」 劇的“40-40”の大谷翔平が試合前に手にした「お菓子」が話題…… 企業は感謝「光栄です!」
ねとらぼ / 2024年8月24日 16時15分
-
2数百のオンラインストアを狙うサイバー攻撃が進行中
マイナビニュース / 2024年8月24日 13時24分
-
3「やべえ!! 天才!!!」 2歳児がブロックで作った「イタリア」 → “まさかの発想”に5万いいね 「すげーよ」「賢すぎ」
ねとらぼ / 2024年8月24日 9時0分
-
4「3GBじゃ足りなかった」 LINEMOベストプランが埋めた穴、ユーザーが語る魅力と課題感
ITmedia Mobile / 2024年8月23日 10時5分
-
5使わなきゃ損!iPhoneの「メール」アプリの小ワザ5選
&GP / 2024年8月24日 19時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください