Linuxをねらう新ワーム「Lupper」--ウェブサーバの脆弱性を悪用

　ウェブサーバ上で実行されるソフトウェアのセキュリティ脆弱性を悪用して感染を拡大する新種のワームが、Linuxシステムへの攻撃を試みていると、米国時間7日に複数のウイルス対策企業が警告を発した。

　ウイルス対策企業McAfeeによると、このワームは、特定の環境下で脆弱なスクリプトをホストするウェブサーバに侵入して感染を拡大しているという。McAfeeはこのワームを「Lupper」と呼んでいる。

　Lupperはあらゆるウェブサーバに攻撃を仕掛け、脆弱性のあるサーバを見つけると、自身の複製をマシンにインストールして実行するとMcAfeeは説明している。

　攻撃者は、感染したサーバに設けられたバックドアを利用して、システムをリモートから操作する。感染したサーバはネットワーク化され、他のマシンに攻撃を仕掛けるなどの用途に利用されると、McAfeeは述べている。

　Symantecによると、このワームが悪用するのは、PHPアプリケーションで使われている「XML-RPC」のリモートコードインジェクションの脆弱性／アクセスログ解析プログラム「AWstats」における入力パラメータチェックの脆弱性／Darryl Burgdorfが作成した「Webhints」のリモートコマンド実行の脆弱性の3件だという。

　XML-RPCの脆弱性は、wikiなどのコンテンツ管理ソフトウェアに影響するもので、2005年に入ってから明らかにされたが、現在ではほとんどのシステム向けにパッチが提供されている。アクセスログ解析ツールAWStatsの脆弱性を修正するパッチは2月に公開された。Darryl BurgdorfのWebhintsは占いを生成するスクリプトで、SymantecのDeepSight Alert Servicesによると、同スクリプト向けの修正パッチは公開されていないという。

　McAfeeの評価ではLupperの脅威度は低く、また同ワームを「Plupii」と呼ぶSymantecでは、その脅威度を中程度とする一方で、同ワームは広く出回っていないとしている。ネットワーク上の脅威を追跡するSANS Internet Storm Centerでは、同ワームに関する報告が複数件あったとしている。

　SymantecとMcAfeeでは自社製品をアップデートし、このワームに対処している。Symantecでは、システムが感染したユーザーに対し、システムをインストールし直すよう推奨している。これは、同ワームに感染したシステムが、他の脅威にどの程度さらされているのか、診断することが難しいためだという。