皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日はWeb系の脆弱性情報をお伝えします。

PHP･Apache･HTTP/2の脆弱性について

8月1日と8月20日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

＜PHP にバッファオーバーフローの脆弱性＞

PHP には、バッファオーバーフローの脆弱性があり、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性がある。

対象は、

・PHP 7.3.8 より前のバージョン

・PHP 7.2.21 より前のバージョン

・PHP 7.1.31 より前のバージョン

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

＜Apache HTTP Web Server 2.4 に複数の脆弱性＞

Apache HTTP Web Server 2.4 系に以下の脆弱性があり、情報改ざん、悪意のあるページへのリダイレクト、情報漏えい、サービス運用妨害（DoS）攻撃の影響を受ける可能性がある。

・mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性

・mod_rewrite に潜在的なオープンリダイレクトの脆弱性

・mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性

・mod_http2 にメモリ破壊の脆弱性

・mod_http2 に h2 worker 枯渇によるサービス運用妨害 (DoS) 攻撃の脆弱性

・mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性

対象は、Apache HTTP Web Server 2.4.41 より前のバージョン

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

＜HTTP/2 の実装に対するサービス運用妨害（DoS）攻撃＞

HTTP/2 通信の処理は、HTTP/1.1 通信の処理と比較して多くのリソースが必要であり、RFC7540 の Security Considerations セクションにおいても、サービス運用妨害（DoS）状態に関する検討が行われている(10.5. Denial-of-Service Considerations)。しかし、どのように対策すべきかは実装者にまかされており、これが以下の問題につながっている。

・Data Dribble

・Ping Flood

・Resource Loop

・Reset Flood

・Settings Flood

・0-Length Headers Leak

・Internal Data Buffering

・Empty Frame Flooding

各 HTTP/2 実装者が提供するアップデートの適用を実施。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。

そのラボにおける活動の第一弾として、『日本国内におけるWordPressセキュリティの現状』の分析レポートが公開されています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたラボが公開した分析レポートにおいて、WordPressへの攻撃（検出箇所）として以下のものが最多として書かれていましたのでご紹介します。

WordPressへの攻撃で最多のものとは

WordPressへの攻撃（検出箇所）で検出が最も多かったものは、『xmlrpc.php』というものです。

『XML-RPC』というのは、遠隔での呼出しを行うプロトコルの一種で、WordPressで言えば、通常の管理画面以外からの投稿を可能にするものです。

WordPressの場合、スマホアプリなどのXML-RPCを使った更新にも対応しているため、xmlrpc.phpというファイルが用意されています。

これが使用可能になっているとどうなるのか？

xmlrpc.phpをターゲットとしたDDoS攻撃などの被害に遭う可能性があり、それを受けた際にはサーバが高負荷状態でパンクしてしまうことにもなります。

つまり、アクセスできない状態にされてしまう恐れがあるということです。

では、これを避けるための対策法はどのようにすれば良いのか？

xmlrpc.phpファイルへの攻撃の対処法

WordPress3.5未満においては管理画面の投稿設定にxmlrpcを無効にするチェックボックスがあったのですが、WordPress3.5以降のバージョンではそれがなく（現在の最新は4.9.4）、デフォルトで有効な状態にあります。

その場合、一番簡単な方法は『.htaccess』でxmlrpc.phpへのアクセスを禁止してしまう方法です。

<Files xmlrpc.php>

Order allow,deny
Deny from all
</files>

と、記述を追加すればOKです。

どうしても特定のIPアドレスからのみ許可をしたい場合、

<Files xmlrpc.php>

Order allow,deny
Deny from all
Allow from xxx.xxx.xxx.xxx
</files>

と、赤字の部分を加えればOKです。

これ以外に、多少サーバへの負荷が残るものを考慮したいのであれば以下の方法が良いです。

<IfModule mod_rewrite.c>

RewriteEngine On
RewriteBase /
RewriteRule ^xmlrpc\.php$ “http\:\/\/0\.0\.0\.0\/” [R=301,L]
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

というように、WordPressで.htaccessに設定される記述に赤字の部分を追加し、xmlrpc.phpへのアクセスを0.0.0.0にリダイレクトさせてしまう方法もあります。

ちなみに、プラグインを使って無効化する方法もありますが、プラグインそのものに脆弱性が見つかることもあるためお勧めではありません。