オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー勧告:Drupal コア 7.x&8.x(補足情報)

Drupal セキュリティーチームからの連絡です(日本時間 2018/04/14(土)03:05 AM)

今回は先日の Drupal コア(D7、D8)アップデートをタイムリーに行えなかった場合の対策情報です(日時によってはアップデートしたけれども遅すぎたという可能性もあり)。

Drupal コア

オンラインの原文: Drupal Core - Highly Critical - Public Service announcement - PSA-2018-002


概要

この一般向けサービス告知は「SA-CORE-2018-002 - Drupal core - RCE」への補足情報であって、新しい脆弱性の告知ではない。「SA-CORE-2018-002」に記述されたとおりにサイトをアップデートしなかった場合、サイトはすでに攻撃の対象となったと考え、以下の手順で改修されたし。

「SA-CORE-2018-002」で報告された脆弱性を利用して Drupal 7 および 8 サイトに危害を加える自動攻撃が発生しているという情報がセキュリティー チームに届いている。このため、セキュリティー チームは、この問題のリスク スコアを(最高の)25/25 に引き上げた。

  • 2018/4/11(水)までに(セキュリティー)パッチを当てられていなかったサイトは被害に遭っている可能性がある。これは 4/11 に自動攻撃が確認されたからだが、それ以前であっても攻撃されている可能性はある。
  • 単に Drupal をアップデートしただけでは、侵入経路をふさぐことも、サイトの被害を修復することもできない。

自分でパッチを当てた覚えはないにもかかわらず、サイトにはすでにパッチが当てられたかのように見える場合、まさにそれが、サイトが乗っ取られたことを示している可能性がある。過去には、攻撃者だけが確実にサイトをコントロールできるようにするため、パッチを適用した攻撃もあった。


サイトが乗っ取られた場合の措置

攻撃者がサイトのデータすべてをコピーした可能性と、そのデータを悪用する可能性がある。攻撃の痕跡は残っているとはかぎらない。

(必要に応じて)ヘルプ文書「Your Drupal site got hacked, now what(英文:Drupal サイトがハックされた。さあ、どうする?)」も参照。


復旧

攻撃者は、データベース、コード、ファイル ディレクトリーおよび他の場所に自分用のアクセス ポイント(「バックドア」とも呼ばれる)を作成した可能性がある。攻撃者は、サーバー上の他のサービスにも危害を加えたり、(サーバーなどへの)アクセスをエスカレートしてくる可能性もある。

乗っ取られた Web サイトのバックドアをふさぐのは困難。それは、本当にすべてのバックドアを見つけたという確証はなかなか得られないため。

(適切なタイミングで)パッチを当てられなかった場合はバックアップ データから復元べき。バックアップからの復元なしに復旧できる可能性もあるが、バックドアを見つけるのは極めて難しいため、推奨しない。おすすめは「バックアップからの復旧」または「サイトを最初から作り直す」のいずれか。上記以外の情報は、ヘルプ文書「Your Drupal site got hacked, now what(英文)」を参照のこと。


コンタクトおよび詳細情報

Drupal セキュリティー チームには「security アットマーク drupal.org」またはコンタクト フォーム経由でコンタクトをとることが可能。