Empfohlen
Weitere ähnliche Inhalte
Mehr von Masahiro Nishio
Drupageddon 2 について 2
- 1. Drupageddon 2 について 2 西尾正博 (本資料作成 2018 年 05 月 18 日) ドテカン(Drupal 定点観測)2018/05/18 Drupal is a registered trademark of Dries Buytaert.
- 2. 自己紹介 西尾 正博 株式会社アウトソーシングテクノロジー Drupal & HTML5 推進室 マーケティングプランナー Drupal 歴 約 10 年。元 Joomla! ユーザー。 2011 年からバイテルト氏のブログ記事を時々、日本語に翻訳・公開。 好きなもの:ポテトサラダ
- 3. このプレゼンの構成 Drupageddon と Drupalgeddon どうなるのか どうすればいいのか 基本的な心がけ おまけ
- 4. Drupageddon と Drupalgeddon Drupageddon(Drupal の L がない) 2014 年、ドイツの SektionEins GmbH 社によって発見、命名された脆弱性。その深刻 度と規模の大きさから、新約聖書に登場する世界終末の最終的な決戦地ハルマゲドン (Arma-geddon)になぞらえた名前が付けられた。 Drupalgeddon 上記 Drupageddon 脆弱性の悪用によって Drupal サイトに作られたバックドアなどの 痕跡を検出・診断するツール。 https://www.drupal.org/project/drupalgeddon ただし、一般には上記どちらの言葉も Drupal に関する同じ脆弱性問題を指すことが多い。 このため、検索する際には要注意。参考情報: Linux Journal (S. Nangle: 2015/04/15) Drupageddon 2 はフィンランドの Drupal サイト制作会社 Druid に勤める開発者ヤスパー マットソン(Jasper Mattson)氏によって発見された。
- 5. どうなるのか Drupal を適切なタイミングでアップデートしなかった場合の例: 1. 攻撃者がサイトを乗っ取り、仮想通貨の採掘スクリプトを仕込む 2. ユーザーがサイトを訪問する 3. ユーザーにスクリプトが送信され、ブラウザー上で採掘計算が行われる 4. ブロックチェーンにブロックが追加されると、攻撃者は仮想通貨で報酬を受け取る 出典:Enisa
- 6. どうすればいいのか Drupal を適切なタイミングでアップデートできなかった場合は、すでに乗っ取ら れたものと考える(乗っ取られた痕跡が残っているとは限らない) 脆弱性公開以前のバックアップからサイトを復元し、最新バージョンの Drupal に アップデートしたうえで再公開する 注 1:Web 上では対策として「最新の Drupal にアップデートすること」が挙げていることが 多いが、乗っ取られたあとで Drupal だけアップデートしても無意味。 注 2:バックアップから復元しても、crontab 経由で悪用コードを再インストールする攻撃も あるので要注意。 可能なら、最新の Drupal でサイトを最初から作り直す いちばん避けたいが、いちばん確実。
- 7. 基本的な心がけ 常に最新バージョンの Drupal と拡張モジュールを使う 「パナマ文書」の一部は Drupageddon の公開後1年以上放置された Drupal から 漏洩した。 不要なテキストファイルは Web サーバーから削除する /core/CHANGELOG.txt など、バージョン情報や履歴が記載されているファイル は攻撃者に手がかりを与えることになる Facebook ユーザー 8700 万人の個人情報を不正に流用して破産した Cambridge Analytica も脆弱性のある Drupal 8 を(セキュリティーリリース公開後も)使用 していたことが CHANGELOG.txt から判明した。参考:Drupal Shell
- 8. おまけ ブラウザー:仮想通貨の採掘スクリプトをブロックする 知らないうちに仮想通貨を採掘させられないようにする拡張機能(Chrome) minerBlock https://chrome.google.com/webstore/detail/minerblock/emikbbbebcdfo honlaifafnoanocnebl?hl=en No Coin https://chrome.google.com/webstore/detail/no-coin-block-miners-on- t/gojamcfopckidlocpkbelmpjcgmbgjcl?hl=en
- 9. 出典および関連情報 Linux Journal (S. Nangle: 2015/04/15): Drupageddon: SQL Injection, Database Abstraction and Hundreds of Thousands of Web Sites https://www.linuxjournal.com/content/drupageddon-sql-injection-database-abstraction-and- hundreds-thousands-web-sites Enisa - European Union Agency for Network and Information Security: Cryptojacking - Cryptomining in the browser https://www.enisa.europa.eu/publications/info-notes/cryptojacking-cryptomining-in-the-browser Drupal Shell: Cambridge Analytica website runs a critically vulnerable version of Drupal https://drupal.sh/cambridge-analytica-drupal-vulnerable Bad Packets Report: Large cryptojacking campaign targeting vulnerable Drupal websites https://badpackets.net/large-cryptojacking-campaign-targeting-vulnerable-drupal-websites/ Troy Mursch: Cryptojacking Campaign - Drupal Sites https://docs.google.com/spreadsheets/d/14TWw0lf2x6y8ji5Zd7zv9sIIVixU33irCM- i9CIrmo4/edit#gid=1317599353