脆弱性「SambaCry」を利用するLinuxマルウェア

セキュリティベンダー大手のトレンドマイクロによると、今回問題になっている脆弱性「CVE-2017-7494」は、暗号化型ランサムウェア「WannaCry」が利用した脆弱性と同様、Windows OS のファイル共有プロトコル「Server Message Block(SMB)」に関する脆弱性ですが、2017 年 6 月、Linux PC をボット化して仮想通貨「Monero(モネロ)」を発掘させるマルウェア「EternalMiner/CPUMiner」が、この脆弱性※「SambaCry」を利用する攻撃として初めて確認されました。

Linux および Unix 用の標準的な Windows 相互運用性プログラムスイート「Samba」に、 2010 年 3 月から存在していた脆弱性「CVE-2017-7494」が確認されたため「SambaCry」と名付けられました。

Samba の開発チームが公開したセキュリティに関する勧告によると、この脆弱性を攻撃者が悪用すると、書き込み可能な共有フォルダにアップロードした共有ライブラリの実行が可能になり、これに成功すると、攻撃者は、コマンド実行ツール「シェル」を起動し、任意のコマンドを実行して端末を操作できるようになります。

2017 年 7 月 3 日にも新しく確認された新種ではSambaCry 利用の従来のマルウェアとの相違点が確認されています。1 つは、特に中小企業でよく利用される NAS(ネットワーク接続ストレージ)のような「モノのインターネット(Internet of Things、IoT)」機器を標的としているということです。

【攻撃者が実際にサイバー攻撃を行う手口】

攻撃者は検索エンジンなどで文字列「samba」とフィルタ「port:445」のみの検索条件で特定できます。このように何らかの方法で Samba を使用している IP アドレスを特定した攻撃者は、独自のツールを利用し、特定した IP アドレスで公開されているフォルダへ不正なファイルを書き込みます。今回の脆弱性が存在するバージョンの Samba が利用されていた場合、その機器は被害に遭う可能性があります。

【対策】

脆弱性「SambaCry」に関する OS の更新プログラムは5月にリリースされています。

■トレンドマイクロの対策

サーバ向け総合セキュリティ製品「Trend Micro Deep Security™」および「Trend Micro Virtual Patch for Endpoint(旧 Trend Micro 脆弱性対策オプション)」は、仮想化・クラウド・物理環境にまたがってマルウェアがサーバに侵入することを防ぎます。同製品をご利用のお客様は、以下の DPIルールによってこの脆弱性を利用する脅威から保護されています。

詳細;トレンドマイクロ

<