新たなワームは Linux と PHP を実行する x86 コンピューターをターゲットにしており、その亜種は他のチップ アーキテクチャに基づく家庭用ルーターやセットトップ ボックスなどのデバイスにも脅威を与える可能性があります。
シマンテックのセキュリティ研究者によると、このマルウェアは、PHPをCommon Gateway Interface(CGI)構成で実行できるようにするコンポーネントであるphp-cgiの脆弱性を悪用して拡散します。この脆弱性はCVE-2012-1823として追跡されており、2012年5月にPHP 5.4.3およびPHP 5.3.13で修正されました。
「Linux.Darlloz」と名付けられたこの新しいワームは、10月下旬に公開された概念実証コードに基づいていると、シマンテックの研究者らは水曜日のブログ投稿で述べた。
「実行されると、ワームはIPアドレスをランダムに生成し、よく知られているIDとパスワードを使ってマシン上の特定のパスにアクセスし、脆弱性を悪用するHTTP POSTリクエストを送信します」とシマンテックの研究者は説明しています。「標的がパッチを適用されていない場合、ワームは悪意のあるサーバーからワームをダウンロードし、次の標的を探し始めます。」
これまでに拡散が確認されている唯一の亜種は x86 システムをターゲットにしています。これは、攻撃者のサーバーからダウンロードされた悪意のあるバイナリが Intel アーキテクチャ用の ELF (実行可能およびリンク可能形式) 形式であるためです。
しかし、シマンテックの研究者は、攻撃者が ARM、PPC、MIPS、MIPSEL などの他のアーキテクチャ向けのワームの亜種もホストしていると主張しています。
これらのアーキテクチャは、ホームルーター、IP カメラ、セットトップ ボックスなどの組み込みデバイスで使用されます。
「攻撃者は、Linux搭載のあらゆるデバイスに攻撃範囲を拡大することで、感染機会を最大化しようとしているようだ」とシマンテックの研究者は述べている。「しかし、PC以外のデバイスへの攻撃はまだ確認されていない。」
多くの組み込みデバイスのファームウェアは、何らかのLinuxベースで動作し、Webベースの管理インターフェース用のPHPを搭載したWebサーバーを搭載しています。こうしたデバイスは頻繁にアップデートが行われないため、Linux PCやサーバーよりも侵入されやすい可能性があります。
パッチ適用が難しい組み込みデバイス
組み込みデバイスの脆弱性へのパッチ適用は、決して容易な作業ではありません。多くのベンダーは定期的なアップデートを提供しておらず、提供したとしても、そのアップデートで修正されたセキュリティ問題についてユーザーが適切に情報を得られないケースが少なくありません。
さらに、組み込みデバイスへのアップデートのインストールには、コンピューターにインストールされている通常のソフトウェアのアップデートよりも多くの作業と技術的な知識が必要です。ユーザーはアップデートが公開されている場所を確認し、手動でダウンロードし、Webベースの管理インターフェースを介してデバイスにアップロードする必要があります。
「多くのユーザーは、自宅やオフィスで脆弱なデバイスを使用していることに気づいていない可能性があります」とシマンテックの研究者は述べています。「私たちが直面する可能性のあるもう一つの問題は、ユーザーが脆弱なデバイスに気付いていても、古い技術やハードウェアの制限(メモリ不足やCPUの速度が遅すぎて新しいバージョンのソフトウェアをサポートできないなど)のために、ベンダーが一部の製品にアップデートを提供していないことです。」
シマンテックの研究者らは、ワームからデバイスを保護するために、デバイスが最新のファームウェア バージョンを実行しているかどうかを確認し、必要に応じてファームウェアを更新し、強力な管理パスワードを設定し、ゲートウェイのファイアウォールまたは可能であれば各デバイスごとに、-/cgi-bin/php、-/cgi-bin/php5、-/cgi-bin/php-cgi、-/cgi-bin/php.cgi、-/cgi-bin/php4 への HTTP POST リクエストをブロックすることを推奨している。
