2014/10/16 未明にお知らせしたとおり、同日、脆弱性を修正した Drupal 7.32 がリリースされました。これ以前の 7.x を使用していたユーザーは、すでに7.32 へアップデート済みのことと存じます。
しかしながら今回の脆弱性はこれまでになく危険なものであり、リリースの数時間後には攻撃が始まり、drupal.org のフォーラムにも「不審な php ファイルが作成され、スパムの踏み台にされている」等の報告が相次いでおります。 また、すでにアップデート済みであっても、アップデート以前に攻撃者に侵入されている可能性が指摘されております。
[11/05 追記:]国内サイトでも、実際に攻撃を受け、管理権限を奪われる被害に遭った例が報告されております。 → OpenStreetMap Japan - サーバ攻撃のご報告と、パスワード変更のおねがい[追記ここまで]
試用で Drupal をインストールしたまま放置されているサイトも数多く存在するものと推測されるため、一般のユーザーは勿論のこと、ホスティングサービス事業者におかれましても、この問題に対する認知・認識を徹底し、十分な注意を払い、適切な対応をされることを強くお勧めいたします。
以下に、この問題を報告した記事、攻撃の可能性や実際の攻撃を調査した記事へのリンクをいくつか列挙いたします。また、Drupal セキュリティチームによる公共サービス情報を翻訳したものを掲載いたしますので参考にしてください。
- 一般社団法人 JPCERT コーディネーションセンターによる注意喚起 - Drupal の脆弱性に関する注意喚起
- 日本のインターネットメディア ITmedia エンタープライズによる記事 - Drupalの脆弱性突く攻撃横行、「侵入されたと想定して対処を」
- BBC ニュースオンラインによる記事 (英語サイト) - Millions of websites hit by Drupal hack attack
- 日本における Web アプリケーションセキュリティの第一人者による調査記事 - DrupalのSQLインジェクションCVE-2014-3704について調べてみた
- Drupal 企業 Acquia のブログ記事 (英語サイト) - Learning from hackers a week after the Drupal SQL Injection announcement
以下の文章は、drupal.org による公共サービス情報「Drupal Core - Highly Critical - Public Service announcement - PSA-2014-003」を翻訳したものです。意訳や誤訳等、翻訳の品質に関して一切の保証はいたしかねますので、予めご了承ください。
Drupal Core - Highly Critical - Public Service announcement - PSA-2014-003
この文章は、2014/10/29 23:39 (日本時間) に Drupal セキュリティチームによって投稿されました
- 勧告 ID: DRUPAL-PSA-2014-003
- プロジェクト: Drupal コア
- バージョン: 7.x
- 日付: 2014-October-29
- セキュリティリスク: 25/25 (きわめて危険度が高い) AC:None/A:None/CI:All/II:All/E:Exploit/TD:All
説明
この公共サービス情報は、SA-CORE-2014-005 - Drupal core - SQL injection の続報であり、Drupal の新たな脆弱性を発表するものではありません。
SA-CORE-2014-005 - Drupal core - SQL injection の発表後、数時間以内に 7.32 への更新または修正パッチを適用していない Drupal 7 のウェブサイトに対して、自動攻撃によるセキュリティ侵害が始まっています。協定世界時での 10 月 15 日午後 11時 (日本時間 10 月 16 日午前 8 時) 以前に更新または修正パッチを適用していないすべての Drupal 7 ウェブサイトは、すでにセキュリティ侵害が行われたという想定のもとで対応するべきです。
単に Drupal 7.32 に更新しただけではバックドアは除去されません。
前述の期間内に更新またはパッチを適用していない場合は、この発表を読み進めてください。
7.32 への更新またはパッチを適用することによって脆弱性は修正されますが、すでにセキュリティ侵害されたウェブサイトは修正されません。パッチを適用した覚えがないにも関わらず、すでにパッチが適用されていた場合には、すでにセキュリティ侵害が行われた可能性があります (いくつかの攻撃では、サイトを支配できる唯一の攻撃者であることを担保する手段として、パッチを適用するものがありました)。
データと被害対策
攻撃者は、攻撃の痕跡を残すことなく、サイトからすべてのデータをコピーした可能性があり、それを悪用される可能性もあります。
ヘルプドキュメント ”Your Drupal site got hacked, now what” を一読してください。
復旧
攻撃者は、データベース、コード、ファイルディレクトリ、あるいはそれ以外の場所に、攻撃者自身のための侵入口 (一般に「バックドア」と呼ばれる) を作った可能性があります。これにより、サーバー上の他のサービスを侵害したり、侵入を拡大させる可能性があります。
確実にすべてのバックドアを発見することはできないため、すでにセキュリティ侵害されたウェブサイトのバックドアを除去するのは困難です。
Drupal セキュリティチームは、ユーザー自身がホスティングプロバイダに相談することをお勧めします。前述の期間内にプロバイダによる対応 (ユーザー個別のパッチ適用またはそれ以外の方法での SQL インジェクション攻撃の阻止) がなかった場合は、2014 年 10 月 15 日以前のバックアップから復元します。
- 静的な HTML ページに置き換え、ウェブサイトをオフラインにします
- 最初の攻撃でバックドアを仕掛けられたことによって、同一サーバー上のアプリケーションや他のサイトにセキュリティ侵害が行われた可能性があることを強調して、サイト管理者に通知します
- 他のサーバーに移転することを検討するか、さもなければサーバーからすべてのウェブサイトのファイルとデータベースを削除します (後の分析のために用心してコピーを取っておきます)
- 2014 年 10 月 15 日以前のバックアップからウェブサイト (Drupal ファイル、アップロードされたファイル、データベース) を復元します
- 復元した Drupal コアのコードを、更新するか、パッチを適用します
- 復元し、更新またはパッチ適用済みのウェブサイトをオンラインにします
- バックアップされた日以降に行われたすべての必要な変更をやり直します
- セキュリティ侵害されたウェブサイトからマージしたあらゆるもの (カスタムコード、設定、ファイル、その他の生成物等) を、それらが適切であり、不正に改変されていないことを確認するために検査します
バックアップからの復元なしに回復することも可能かもしれませんが、バックドアの発見はきわめて困難なことから、これはお勧めしません。勧告は、バックアップから復元するか、ゼロから再構築することです。
詳細は FAQ on SA-CORE-2014-005 を参照してください。
筆者
- Michael Hess (Drupal セキュリティチーム)
- Bevan Rudge
協力者
- Michael Hess (Drupal セキュリティチーム)
- Stephane Corlosquet (Drupal セキュリティチーム)
- Greg Knaddison (Drupal セキュリティチーム)
- Rick Manelius (Drupal セキュリティチーム)
- Peter Wolanin (Drupal セキュリティチーム)
連絡先とさらなる情報
このリリースに関する FAQ を用意しました。FAQ on SA-CORE-2014-005 を参照してください。
Drupal セキュリティチームには、security at drupal.org または https://www.drupal.org/contact から連絡を取ることができます。
Drupal セキュリティチームとポリシー、Drupal での安全なコードの書き方、サイトを安全に保つ方法について、より多くのことを学んでください。
