世界中のコンテンツ管理システム(CMS)サイトを標的とする大規模なサイバー攻撃キャンペーンが確認されています。サイバー犯罪者はパッチが適用されていないソフトウェアや脆弱なプラグインを見つけ出すため、Webサーバーを積極的にスキャンしています。
攻撃者はこうした弱点を悪用して悪意のあるWebシェルを設置し、侵害したWebサイトへのリモート制御権を獲得します。このキャンペーンは世界中の多数の組織に影響を及ぼしており、特に多くの中小企業が被害を受けています。
こうした攻撃の急速な拡大は、Five Eyes(米・英・加・豪・NZの5カ国による諜報同盟)のサイバーセキュリティ機関が最近指摘した傾向を浮き彫りにしています。脅威アクターは人工知能を活用してサイバー攻撃活動を加速させる傾向を強めています。
この技術的な変化により、脆弱性が公表されてから実際に悪用されるまでの重要な猶予期間が急速に短縮されています。
悪意のあるアクターは脆弱なCMSを特定すると、特定の欠陥を突いてシステムに侵入します。
これらの脆弱性は主に、未認証でのファイルアップロード、リモートコード実行、サーバーサイドリクエストフォージェリ(SSRF)、あるいは安全でないデシリアライゼーションを可能にするものです。
これらのエクスプロイトが成功すると、攻撃者はシステムへの隠れたバックドアとして機能するWebシェルを設置します。
Webシェルが稼働状態になると、ハッカーは標的のWebサーバーをリモートで操作できるようになります。攻撃者はこの不正アクセスを悪用してWebサイトを改ざんし、通常の業務運営を妨害するとともに、サーバー上に保存されている機密性の高いユーザー認証情報を窃取します。
さらに、侵害されたWebサーバーは追加のマルウェアをホスティング・配布する目的で頻繁に利用され、正規の訪問者を欺いたり、より広範な企業ネットワーク侵害への隠れた侵入経路として使われたりします。
組織は潜在的な侵害を迅速に検知し、デジタルインフラを保護するために早急な対応を取る必要があります。
オーストラリア信号局(Australian Signals Directorate)傘下のオーストラリアサイバーセキュリティセンター(ASD’s ACSC)は、Webサイト管理者に対し、自組織のCMS環境を積極的に点検するよう強く呼びかけていると、cyberは伝えています。
脅威アクターがAIを兵器化し、スキャン機能の自動化を進め続けるにつれ、手動での修復対応が間に合う猶予はかつてないほど狭まっています。
組織は事後対応型のパッチ適用から予防的な防御体制へと移行し、継続的な監視と迅速かつ自動化されたセキュリティアップデートを優先する必要があります。
CMS環境を強化し、厳格なアクセス制御を実施し、Webサーバーのプロセスを綿密に監視することで、企業はこうした攻撃の連鎖を効果的に断ち切り、積極化する世界規模のエクスプロイトキャンペーンからインフラを守ることができます。
翻訳元: https://cyberpress.org/hackers-exploit-cms-websites/