脆弱性に関するmemo(2/4)

セキュリティ

FTP アカウント情報を盗むマルウエアに関する注意喚起 (JPCERT/CC, 2/3)

ガバっとコピペで引用...

I. 概要

昨年より、FTP アカウントの盗用に端を発して、Web サイトが改ざんされ、
意図しない JavaScript を埋め込まれる事象や、改ざんされたサイトを閲覧し
たユーザのコンピュータがマルウエア(いわゆる Gumblar ウイルスなど)に感
染する事象が多数発生しています。
JPCERT/CC にて本攻撃に使用されているマルウエアを解析した結果、これま
でに判明していた通信の盗聴機能に加え、コンピュータ内に保存されているア
カウント情報を窃取する挙動を確認しましたので、対策を周知する目的で本注
意喚起を発行いたします。


II. 詳細

本攻撃に使用されているマルウエアに感染すると、ユーザのコンピュータ内
に保存されているアカウント情報が読み取られ、外部のサーバに対し送信され
る可能性があります。
このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む
複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマル
ウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を
確認しました。

- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07
- WinSCP 4.2.5

上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。

- MicrosoftInternet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- OperaOpera 10.10

また、今後マルウエアが変化し、アカウント窃取の対象となるソフトウエア
が変化する可能性があります。

あら、WinSCP も入ってる...
さらに、IE6 と Opera 10.10 にも。

III. 対策

本攻撃で使用されているマルウエアは、複数のソフトウエアの脆弱性を使用
して感染します。現在判明している攻撃の対象となるソフトウエアは、以下の
通りです。

- Adobe AcrobatAdobe Reader
- Adobe Flash Player
- Java(JRE)
- Microsoft Windows など

JPCERT/CC で確認している範囲では、現在攻撃に使用されているこれらソフ
トウエアの脆弱性は既に修正済みのため、各製品に対策済ソフトウエアを適用
することで、マルウエアに感染しないようにすることが出来ます。

また、今後攻撃の対象となるソフトウエアが増えたり、使用される脆弱性
変化したりする可能性があるため、ユーザは利用しているソフトウエアを最新
版に更新することを心がけてください。

Web サイトの改ざんに対する対策は、以下の注意喚起をご参照下さい。

Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100001.txt

関連:

コンピュータウイルス・不正アクセスの届出状況[1月分]について (IPA, 2/3)

1. 今月の呼びかけ

「 "ガンブラー" の手口を知り、対策を行いましょう 」

アップルがiPhone OSのセキュリティアップデートを公開(アップル) (ScanNetSecurity, 2/3)

JVNVU#188937 GNU gzip における複数の脆弱性 (JVN, 1/29)

GNU gzip 1.4 が出ている。

■ その他