広く使用され、広くフォークされている jQuery ファイルアップロードプラグインの深刻な脆弱性は、ウェブサイトの制御を奪うためにハッカーによって何年も悪用されていた可能性があり、最近になってようやく修正されました。
Akamaiのバグハンター、ラリー・キャッシュダラー氏は先週末、CVE-2018-9206と呼ばれるセキュリティ上の欠陥について説明しました。この脆弱性により、Apacheウェブサーバーで脆弱なコードを使用しているウェブサイトにおいて、悪意のあるユーザーが任意のコードをアップロードし、ルート権限で実行することが可能になります。これにより、攻撃者はウェブシェルをアップロードして実行し、標的のマシン上でコマンドを実行し、データの窃取、ファイルの改ざん、マルウェアの拡散などを行う可能性があります。
Cashdollar(実名だと断言する)は、Sebastian Tschan氏のオープンソースjQueryファイルアップロードツールに脆弱性があることを突き止め、開発者にバージョン9.22.1で修正を依頼した。しかし、情報セキュリティ担当者は、このコンポーネント(そしてその7,828個のフォーク)に依存するすべてのサイトとウェブアプリにアップデートを実際に適用するのはほぼ不可能かもしれないと懸念している。
GitHubがJavaScriptの挿入で妨害され、サーバーがDDoS攻撃を受ける
続きを読む
「残念ながら、jQuery File Upload からフォークされたプロジェクトのうち、どれだけが適切にメンテナンスされ、マスター プロジェクトでの変更が適用されているかを正確に判断する方法はありません」と Cashdollar 氏は説明した。
「また、フォークされたプロジェクトが本番環境で使用されている場合、その場所を特定する方法はありません。さらに、2010年に遡る古いバージョンのプロジェクトにも、ファイルアップロードの問題の脆弱性がありました。」
この脆弱性は、Apache Web サーバーのバージョン 2.3.9 以降で.htaccessセキュリティ構成ファイルのサポートが無効になったために発生しており、jQuery File Upload などのプロジェクトが悪用される危険性がありました。
さらに、キャッシュダラー氏は、この単純な脆弱性に遭遇したのは彼が初めてではないことはほぼ確実だと指摘した。YouTubeに投稿されたデモ動画を見ると、同様の欠陥が悪意のある攻撃者に知られており、一部のユーザーからは長年にわたり狙われてきたことが示唆されている。
「インターネットは、システム、データ、そして取引の安全を確保するために、日々多くのセキュリティ対策に依存しています」とキャッシュダラー氏は述べた。「これらの対策の一つが突然機能しなくなると、それらに依存しているユーザーやソフトウェア開発者が知らないうちにセキュリティリスクにさらされる可能性があります。」
この脆弱性自体は非常に些細なものであり、しかも8年前から存在していることから、ハッカーたちは何年も前からこのバグをひそかに悪用してきたと考えられています。脆弱性の詳細が公開された今、例えばこちらのようなエクスプロイトコードが公開されており、自分のウェブサイトがCVE-2018-9206の脆弱性を持っているかどうかをテストしたい場合に役立つかもしれません。いずれにせよ、多くの人がこの脆弱性について知っているということは、脆弱なウェブサイトを脅迫したり乗っ取ったりする悪意のある人物が増えることを意味します。®
