CGI版PHPの脆弱性を突いた攻撃の流行(CVE-2012-1823)

2012/05/242017/10/28WordPress, セキュリティ

CGI版PHPの脆弱性を突いた攻撃が流行しているようです。私が普段参照しているサイトが2件、改竄されました。Wordpressを利用している場合、 /wp/ の下は投稿の際に見ていると思いますが、 / (ルート)はあまり見てなくて気づくのが遅れるようです。2件ともそのパターンでした。潜在的な被害はかなり多いんじゃないかと推測しています。

レンタルサーバー等、同一構成のサイトが多いところが集中的に狙われている感もありますので、該当する方はご確認を。

※脆弱性（セキュリティーホール）には、共通脆弱性識別子CVEが振られています。本件はCVE-2012-1823（2012年に見つかった1823番目の脆弱性）です。この番号を元に原因や対処方法を検索することができます。

当サイトのログを調べてみたら、攻撃の記録が残っていました。幸い、CGI版PHPは使っていないので侵入は免れたようです。別のサーバーのログには「/index.cgi/?-dallow_url_include%3Don+-dauto_prepend_file」も残ってて、こちらは「CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823) | 徳丸浩の日記」に書かれている既知の攻撃方法と一緒です。こちらのサーバーはPHP使ってないので無問題でした。

# grep GET *_log |grep '?-d’
www.zukeran.net-access_log:***.***.***.*** – – [10/May/2012:11:49:08 +0900] “GET /index.php?-s HTTP/1.1" 404 207 “-" “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_1) AppleWebKit/535.1 (KHTML, like Gecko) Safari/535.1" 0
www.zukeran.org-access_log:***.***.***.*** – – [05/May/2012:18:25:27 +0900] “GET /index.php?-s HTTP/1.1" 404 207 “-" “Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.2; WOW64; .NET CLR 2.0.50727)" 0
www.zukeran.org-access_log:***.***.***.*** – – [06/May/2012:06:23:15 +0900] “GET /shin/d/index.php?-s HTTP/1.1" 301 – “-" “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_1) AppleWebKit/535.1 (KHTML, like Gecko) Safari/535.1" 1
www.zukeran.org-access_log:***.***.***.*** – – [06/May/2012:06:23:17 +0900] “GET /shin/d/?-s HTTP/1.1" 200 105889 “-" “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_1) AppleWebKit/535.1 (KHTML, like Gecko) Safari/535.1" 1
www.zukeran.org-access_log:***.***.***.*** – – [10/May/2012:01:22:28 +0900] “GET /shin/d/2010/01/23/web-and-pay-per-view/?-s HTTP/1.1" 200 12417 “-" “Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)" 2
www.zukeran.org-access_log:***.***.***.*** – – [10/May/2012:10:23:50 +0900] “GET /index.php?-s HTTP/1.1" 404 207 “-" “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_1) AppleWebKit/535.1 (KHTML, like Gecko) Safari/535.1" 0

情報リンク：