2020年11月20日、警察庁は、WordpressのFileManagerプラグインの脆弱性を標的としたアクセスとDockerAPIを標的とした探索行為・情報取得行為が増加していると発表しました。
警察庁は、2020年9月1日にWordpress用 FileManagerプラグインが更新され、脆弱性が明らかになったことを受け、インターネット定点観測を実施。9月10日および11日にFileManagerプラグインへのアクセスを観測し、10月13日から当該アクセスの増加を観測しました。
警察庁は、2020年9月1日にWordpress用 FileManagerプラグインが更新され、脆弱性が明らかになったことを受け、インターネット定点観測を実施。9月10日および11日にFileManagerプラグインへのアクセスを観測し、10月13日から当該アクセスの増加を観測しました。
観測したアクセスは、FileManagerプラグインの説明書の取得を試みるものがほとんどであり、この行為によってプラグインのバージョンを確認していると考えられます。
このプラグインを悪用すると、第三者が任意のファイルをアップロードし、実行できるようになります。そのため、ウェブサーバの改ざん、ファイル蔵置および情報漏えいの原因となります。
このため、Wordpress用FileManagerプラグインの使用者は、バージョン 6.9 以降であることを確認してください。
また、Dockerに関して実施したインターネット定点観測においては、2019年11月上旬からDockerAPIの探索行為の増加を観測して注意喚起を実施。その後、2020年9月以降にDockerAPI に対するアクセスの増加を観測しました。
観測されたアクセスは、Docker APIを用いて、Dockerのバージョン情報をリクエストするものが
ほとんどですが、稼動しているサーバの情報およびコンテナやコンテナイメージの情報をリクエストするアクセスも観測しました。これらの行為は、外部から操作可能なDockerAPIを探索する目的があると考えられます。DockerAPIに対するアクセスは、宛先ポート 2375/TCP、2376/TCP、2377/TCP、4243/TCP、4244/TCP、5555/TCP、2379/TCP などで観測されています。
← クリックして応援をお願いします!