2024年7月5日、IPA(情報処理推進機構)がPHPの脆弱性を狙った攻撃に関する重要なセキュリティ情報を発信しました。
この脆弱性は実際に国内での被害も出ているようで、サーバの破壊や社内ネットワークへの攻撃を受ける危険性のある対応必須な内容になっています。
今回はこのPHPの脆弱性情報を軸に、対応方法や日頃のPHPバージョン更新の重要性を説明していきます。
今回見つかったPHPの脆弱性のリスク
今回見つかったケースでは、PHPの脆弱性(CVE-2024-4577)を悪用し、攻撃者がサーバ外部から悪意あるプログラムファイル(Webシェル)をサーバに設置し、組織内ネットワークへの侵入や攻撃を仕掛ける危険性があります。
構成にもよりますが、攻撃を受けたサーバも含め社内ネットワークに統一されている場合は、同一ネットワーク内にあるデータベースやネットワークに接続するクライアントへマルウェアやランサムウェアを仕込むということも可能になります。
また、設置されたWebシェルによって、サーバ内のすべてのファイルを削除するようなプログラムを実行されてしまうこともあります。
サーバに公開されているサイトやシステム、アプリケーションを全て削除され、取り返しのつかない状態になることも考えられますので、この脆弱性への対応は必須と言えます。
脆弱性を持つPHPバージョン
今回この脆弱性を持つPHPバージョンは以下のものです。
- PHP8.3.8以下の8.3系
- PHP8.2.19以下の8.2系
- PHP8.1.28以下の8.1系
- PHP7以下のバージョン全部
WEBサイトの運用を自社で行っていたり、最近PHPバージョン更新を行っていない場合、PHP7系のバージョンや、最悪の場合PHP5系を使っているような環境もたまに出くわします。
サーバの管理画面から現在利用しているPHPバージョン情報の確認をおすすめします。
対応方法
今回の脆弱性はPHP8.1、8.2、8.3の最新バージョンで修正されたものがリリースされています。
もし、現在利用しているPHPのバージョンが脆弱性を持ったままのバージョンである場合は、修正が適用されているPHPバージョンに更新してあげましょう。
レンタルサーバのようなマネージドサーバの場合は、基本的にPHP8系を利用していればマイナーバージョンはサーバ管理会社が更新を行ってくれますので、特に対応を行う必要はありません。
ただ、もし今PHP7系以下のバージョンを利用している場合は、PHP8系へ切り替える操作を行う必要があります。
また、VPSやクラウドサーバ、オンプレ環境でのサーバを利用している場合はミドルウェアの管理は自身で行うことになりますので、新しいバージョンのPHPパッケージを手配し、インストールのし直しをする必要があります。
また、PHP7系以下→PHP8系へのバージョン更新の際は、PHP8系から廃止になっている関数などがいくつかありますので、今まで問題なく稼働していたシステムでエラーが発生する可能性があります。
本番環境のPHPバージョンをいきなり更新する前に、必ず開発環境で動作確認を行うようにしましょう。
日頃のメンテナンスの重要性
セキュリティ被害を未然もしくは最小限に抑えるためには、日頃からきちんとした保守を行い、適切なメンテナンスを行ってあげることが重要です。
サーバ管理者やサイト管理者が日常的に行えるメンテナンスをご紹介します。
定期的なバージョン更新
PHPやその他プログラミング言語だけではなく、サーバで利用しているOSや各種ミドルウェアは常に脆弱性の発見と修正が細かく行われています。
各バージョンにはEOSLというサポート期間が設けられており、サポートが終了したバージョンは脆弱性が見つかった場合でも修正されることはありません。
「動いてるからいい」という考えは改め、定期的なバージョン更新の意識を持つようにしましょう。
環境情報の漏洩を防ぐ
サーバやサイトへ攻撃をしようとする攻撃者は、不備により閲覧できるような環境情報がないか日常的に探しています。
例えばNginxのバージョン情報が出てしまっていたり、デバッグ用のphpinfoを出力したファイルが誰でも閲覧できる状態になっていた場合、脆弱性のある環境であることがバレてしまい、攻撃を受ける原因となります。
不必要に環境情報が漏れ出てしまわないよう対策を行いましょう。
サーバログ調査
特に海外向けというわけではなかったり、大規模サイトというわけではないWEBサイトでもサーバのアクセスログを見てみると、思った以上に不正アクセスを試みているログがあります。
WordPressの脆弱性を探っていたり、Laravelなどのフレームワークの脆弱性を無差別的に探っているケースが多いです。
こういった危険性のあるアクセスログに対し、該当のIPアドレスからのアクセスをブロックするなど対策を講じることをおすすめします。
WEBサイトの保守やサーバ管理についてご相談ください
株式会社Neightbor.では、コーポレートサイトや各種WEBサイトおよびサーバの管理保守のご相談をいつでも承っております。
「保守もやらなきゃいけないけど、自社ではカバーしきれない」「自社サイトが攻撃にあう前に対策したい」など、どのようなフェーズでも最適のご提案をさせて頂きますので、まずはお気軽に相談ベースでお問い合わせください。