CGI版PHPの脆弱性を突いた攻撃の流行(CVE-2012-1823)
レンタルサーバー等、同一構成のサイトが多いところが集中的に狙われている感もありますので、該当する方はご確認を。
※脆弱性(セキュリティーホール)には、共通脆弱性識別子CVEが振られています。本件はCVE-2012-1823(2012年に見つかった1823番目の脆弱性)です。この番号を元に原因や対処方法を検索することができます。
当サイトのログを調べてみたら、攻撃の記録が残っていました。幸い、CGI版PHPは使っていないので侵入は免れたようです。別のサーバーのログには「/index.cgi/?-dallow_url_include%3Don+-dauto_prepend_file」も残ってて、こちらは「CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823) | 徳丸浩の日記」に書かれている既知の攻撃方法と一緒です。こちらのサーバーはPHP使ってないので無問題でした。
# grep GET *_log |grep '?-d’
www.zukeran.net-access_log:***.***.***.*** – – [10/May/2012:11:49:08 +0900] “GET /index.php?-s HTTP/1.1" 404 207 “-" “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_1) AppleWebKit/535.1 (KHTML, like Gecko) Safari/535.1" 0
www.zukeran.org-access_log:***.***.***.*** – – [05/May/2012:18:25:27 +0900] “GET /index.php?-s HTTP/1.1" 404 207 “-" “Mozilla/5.0 (compatible; MSIE 7.0; Windows NT 5.2; WOW64; .NET CLR 2.0.50727)" 0
www.zukeran.org-access_log:***.***.***.*** – – [06/May/2012:06:23:15 +0900] “GET /shin/d/index.php?-s HTTP/1.1" 301 – “-" “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_1) AppleWebKit/535.1 (KHTML, like Gecko) Safari/535.1" 1
www.zukeran.org-access_log:***.***.***.*** – – [06/May/2012:06:23:17 +0900] “GET /shin/d/?-s HTTP/1.1" 200 105889 “-" “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_1) AppleWebKit/535.1 (KHTML, like Gecko) Safari/535.1" 1
www.zukeran.org-access_log:***.***.***.*** – – [10/May/2012:01:22:28 +0900] “GET /shin/d/2010/01/23/web-and-pay-per-view/?-s HTTP/1.1" 200 12417 “-" “Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2) Gecko/20100115 MRA 5.6 (build 03278) Firefox/3.6 (.NET CLR 3.5.30729)" 2
www.zukeran.org-access_log:***.***.***.*** – – [10/May/2012:10:23:50 +0900] “GET /index.php?-s HTTP/1.1" 404 207 “-" “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_1) AppleWebKit/535.1 (KHTML, like Gecko) Safari/535.1" 0
情報リンク:
- National Vulnerability Database (NVD) National Vulnerability Database (CVE-2012-1823)(脆弱性詳細、英文)
- CGI版PHPの脆弱性に注意喚起、国内でも攻撃を検出 - @IT
- 【重要】PHP5.2及びPHP5.3の脆弱性への緊急対応につきまして / 新着情報 / お知らせ – ロリポップ!
- CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823) | 徳丸浩の日記(対処方法が掲載されています)
- RHSA-2012:0546-1 Critical: php security update
- CVE – CVE-2012-1823 (under review)
最近のコメント