Impervaは、米国連邦調査局(FBI)および米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)が、脆弱性を抱えたアプリケーションとWebサーバを標的とするマルウェア「AndroxGh0st」について、注意喚起を発表した。

「AndroxGh0st」はPythonで実装されており、脆弱なネットワーク上で被害者の特定と悪用のためにボットネットを構築し、Amazon Web Services (AWS)やMicrosoft Office 365などのアプリケーションの認証情報を窃取する活動を行う。

「AndroxGh0st」が標的とするのは、「CVE-2017-9841(PHPUnitおよびUtil/PHP/eval-stdin.phpに存在する脆弱性)」、「CVE-2018-15133(Laravel Frameworkに存在する脆弱性)」「CVE-2021-41773(Apache HTTP Serverに存在する脆弱性)」。

「AndroxGh0st」に対応するための緩和策は次の通り。

〇OS、ソフトウェア、ファームウェアを最新の状態に保つ。特に「Apache Web Server」のバージョンが2.4.49/2.4.50でないことを確認する
〇すべてのURIのデフォルト設定が「拒否」となっていることを確認する
〇Laravelアプリケーションがデバッグモードおよびテストモードになっていないことを確認する。
〇Laravelにおいて「.env」ファイルからクラウド認証情報を削除する
〇削除できない認証情報に注視し、不正アクセスがないかを継続的に確認する
〇Webサーバのファイルシステムに覚えのないPHPファイルがないことを確認する
〇curlコマンドなどを使用した、GitHubやpastebinなどのホスティングサイトへのHTTP GETリクエスト（特に.php）を検証する

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス