NEWS

サーバー管理ソフトSaltの脆弱性を利用してマイニングマルウェアがインストールされる

コインチェック

マルウェアによってブログプラットフォームGhostがダウン


ハッキンググループが、IBMやLinkedIn、eBayなどでも利用されているインフラツールSaltの脆弱性を利用して、企業のサーバーに仮想通貨マイニングのマルウェアをインストールしていたことが明らかになりました。

Saltを利用しているブログプラットフォームのGhostは、5月3日にSaltベースのサーバーがハッキングされ、仮想通貨マイニングのマルウェアをインストールされました。

Ghostは、次のようにコメントをリリースしています。

我々の調査によると、サーバー管理インフラの脆弱性を突いて、不正な仮想通貨マイニングに利用されたことが判明しました。

マイニングによってCPUの負担が急激に増加し、Ghostのサービスのほとんどが利用できない状況になりました。

なおGhostは、翌日にサーバーから全てのマルウェアを削除し、新たなファイアウォールの設定などの対策を行いました。

原因はサーバー管理ソフトSaltの脆弱性


Saltは、SaltStackによって開発されたオープンソースのフレームワークで、企業のサーバーを管理・自動化するためのツールです。

IBM、LinkedIn、eBayなどのクライアントがおり、Saltを利用してサーバーの設定、タイムスケジュールに合わせたコマンドの実行などが行われています。

SaltStackは数週間前、Saltの最新バージョンに重大な脆弱性があることを認識しており、クライアントに、次の点について警告を出していました。

  • 承認を受けてないリモートユーザーがいくつかの部分にアクセスできること
  • 不正に認証されたユーザーがいくつかの部分にアクセスできること

AndriadのOSとして利用されるLineageOSも、同様の手口でハッカーに侵入を許していましたが、LineageOSはソフトウェアのアップデートが間に合わなかったことを認めています。

GhostLineageOSの件が同一犯によるものかどうかは分かっていません。

また、マイニングしようとした仮想通貨も明らかにされていません。

まとめ


GhostSaltのアップデートを行っていたかどうかは明らかになっていませんが、今回の原因となった脆弱性について、優秀なハッカーは24時間以内に攻撃するためのウイルスを作ることができると専門家は指摘しています。

多くのシステムが複雑に絡み合うインターネットの世界で、最初から完璧な商品をリリースすることはできません。

リリースしてから、何度もアップデートを繰り返して少しずつ完璧に近づいていきます。

今回GhostLineageOSが被害を受けたハッキング事件では、”優秀なハッカー”が素早く対応し、システムの穴をふさぐ前に侵入されてしまったようです。

幸い、個人情報や資金の流出はなかったようですが、インターネットインフラを提供する企業は、セキュリティ対策で”優秀なハッカー”にスピードで負けることのないよう、なお一層の努力が求められます。

Hackers Plant Crypto Miners by Exploiting Flaw in Popular Server Framework Salt
(ハッカーがサーバー管理ソフトの脆弱性をついてマイニングソフトを仕掛ける)
コインチェック