国内のセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)は2014年10月10日、Webベースのシステム管理ツール「Webmin」の標準ポートTCP 10000番へのアクセスが2014年9月以降増加しているとして注意を呼びかけた(図)。Webminの旧バージョンはGNU bashの脆弱性「Shellshock」の影響を受けるため、Shellshockを狙った攻撃である可能性が高い。
Webminの開発元によれば、Webmin バージョン1.700以前は、2014年9月に見つかったShellshockの影響を受けるという(関連記事:危なすぎるBashの脆弱性「Shellshock」)。具体的には、外部から送られたデータ(パラメータ)を、同じサーバー上で動作するbashに渡す可能性がある。
このため、脆弱性のあるbashとWebminを稼働している環境では、細工が施されたデータを送信されると、攻撃コードを実行する危険性がある。その結果、サーバーを攻撃者に乗っ取られる恐れなどがある。
実際、JCPERT/CCでは、脆弱性のあるバージョンのbashとWebminが動作する環境で、Webminの権限で任意のコードが実行可能であることを確認している。Webminは標準インストールでroot権限で動作する。
JPCERT/CCは2014年10月10日現在、Webminの標準ポートであるTCP 10000番ポートを対象としたスキャンが継続していることを確認。Webminとbashを使用しているサーバーの管理者に対して、対策を実施するよう呼びかけている。
対策は、bashならびにWebminを修正済みのバージョンにアップデートすること。今回のケースではWebminが狙われているが、今後は別のサーバーソフト経由でShellshockが狙われる可能性がある。Webminを使っていない場合でも、bashの脆弱性解消が急務だ。
