拡散するAndroxgh0st

ほぼこもセキュリティニュース By Terilogy Worx

Androxgh0stは、インフォスティーラー型マルウェアです。
いくつもの切り口で侵害を試みます。
現時点では、次の3つの脆弱性を悪用します。

  • CVE-2017-9841
    これは、PHPUnitの脆弱性です。
    この脆弱性を悪用することにより、PHPのコードをリモートから実行することが可能になります。
    悪意あるPHPコードをPOSTで送り込み、それをリモートから実行するのです。
    この方法で、侵害対象のシステムにバックドアとして利用可能な機構を仕掛けます。
    この問題の悪用により、環境のデータベースにアクセスすることも可能にしてしまいます。

     

  • CVE-2021-41773
    これは、Apache HTTP Serverの脆弱性です。
    この脆弱性が存在しているシステムでは、パストラバーサルが可能となってしまい、結果としてリモートでコードを実行することができるようになってしまいます。

     

  • CVE-2018-15133
    これは、Laravel Web アプリケーションフレームワークの脆弱性です。
    信頼できないデータをデシリアライズしてしまうため、リモートよりコードを実行されるおそれがある脆弱性です。
    この脆弱性を悪用し、フレームワークの使用する設定ファイルの読み取りを試みます。
    通常、この設定ファイルには、フレームワークの動作のために必要な認証情報が含まれています。
    環境によっては、そのシステムのユーザ名やパスワードにとどまらず、連係動作するAWSやメールシステムの認証情報も含んでいることが考えられます。
    この問題の悪用により、こういった重要情報を持ち出されてしまいます。

これらの脆弱性を悪用し、脅威アクターは認証情報を収集し、その悪用を開始します。
連係動作するAWSの環境に新しいユーザを作成されてしまっていた、そしてさらに、AWS上に攻撃行為に使用するための新しいAWSのインスタンスを作成されてしまったという事例も確認されています。
いつの間にか知らないユーザやインスタンスが作成されていることなど、想像もしたくありません。

これらはいずれも、とても長い時間の経過している脆弱性です。
CVE番号の右側の数字はそのCVEの確保された年を表しています。

緩和策はいつも通りです。
パッチはタイムリーに適用しましょう。
公開するサーバやサービスは、最小限となるように構成しましょう。

参考記事(外部リンク):Known Indicators of Compromise Associated with Androxgh0st
Malware

www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a