SecurityInsight | セキュリティインサイト

警察庁、PHP-FPMの脆弱性を標的としたアクセスの観測等について発表

警察庁は11月28日、PHP-FPMの脆弱性を標的としたアクセスの観測等について発表した。その概要は以下のとおり。

FPM(FastProcessManager)はPHPのFastCGI実装の一つで、主に高負荷のサイトで有用な追加機能を提供する。今年10月28日に、PHP-FPMに存在する脆弱性(CVE-2019-11043)が、海外の脆弱性データベースで公表されている。

nginxサーバーに実装されたPHPにおいて、「PHP-FPM」が有効になっている場合に影響を受けるとされ、当該脆弱性が悪用された場合、遠隔から攻撃者により任意のコードを実行される可能性がある。また、海外の共有ウェブサービスにおいて、当該脆弱性を対象とした攻撃ツールが公開されていることを確認した。警察庁のインターネット定点観測においては、9月27日以降、PHPの稼働状況を確認しているとみられる「phpinfo.php」ファイルに対するアクセスを観測した。

これらのアクセスの中には、攻撃ツールの被害により任意のコード実行が容易となっているサーバー等を探索する行為や、被害を受けたサーバーに対してバックドアを仕掛ける行為などが含まれていた。

PHPの利用者はバージョンの確認を実施するよう、警察庁では呼びかけている。

脆弱性のあるバージョンは、PHP7.1.33より前の7.1.x系、7.2.24より前の7.2.x系、7.3.11より前の7.3.x系

使用しているPHPのバージョンが脆弱性の影響を受けることが判明した場合には、開発元から公開されているセキュリティパッチの適用を実施し、インターネットからのアクセスを許可する場合には、必要な着信元(送信元)IPアドレスのみにアクセスを許可する、VPNを用いて接続することも検討すること。

脆弱性のあるバージョンを使用している場合は、すでに攻撃を受けている可能性がある。該当するサーバー等に不審なプロセス、ファイルおよび通信等が存在しないか確認すること。

レポートではこれ以外に、PostgreSQL等のデータベースサーバーを標的としたアクセスの増加についても報告している。
 

関連リンク

レポート(PDF)