パスワードを忘れた? アカウント作成
14130740 story
インターネット

国立感染症研究所のWebサーバーでCGIに脆弱性、踏み台として使われる 30

ストーリー by hylom
いにしえの 部門より

国立感染症研究所のサーバーに脆弱性があり、このサーバーを踏み台とした不正行為に使われていたことが発覚した(日経xTECH)。

問題のサーバーは2012年まで公式Webサイトで使われていたもので、その後ファイルサーバーとして使われていたという。このサーバー上で動いていた「20年以上前にPerl言語で作られたCGIプログラム」に脆弱性があり、これを狙った攻撃によってサーバーが外部から操作されてしまったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hahahash (41409) on 2020年03月09日 15時45分 (#3775741) 日記

    ネコも杓子もPerlでCGI、っていう狂った時代だったので、
    unixとかシェルとかの基礎知識もないままに、
    コピペでコード書いてCGIとして動かしちゃってる人間がたくさんいた。

    CGIの解説ページとかがたくさんあって、
    わかりやすく説明するために単純化されたコードが公開されてたりして、
    入力検証とかエラー処理とかが省かれた危険なコードなんだけど、
    そのままでも一応動くもんだから、そのままコピペして動かしてたり。

    CGIを作って公開してるWebページがたくさんあって、
    そこからダウンロードしてWebサーバにアップすればそのまま動く、ってことだったけど、
    ソース追っかけてみたら色々やばすぎだったり。

    思い出してみると、恐ろしいというか牧歌的というか……

    • by Anonymous Coward on 2020年03月09日 16時14分 (#3775760)

      ネコも杓子もPerlでCGI、っていう狂った時代だったので、
      unixとかシェルとかの基礎知識もないままに、
      コピペでコード書いてCGIとして動かしちゃってる人間がたくさんいた。

      人数だけなら当時より今の方が同じようにコピペでやったる人は多いかも。
      コピペ元の質が当時と比べて上がってるのかどうかは知らん。

      親コメント
    • by Anonymous Coward on 2020年03月09日 20時21分 (#3775932)

      おっと、とほほ先生の悪口はそこまでだ。

      親コメント
    • by Anonymous Coward
      ごめん。オレだ
      • by Anonymous Coward

        おいらもかなりばら撒いた…
        まだPerl4の時代…

        • by Anonymous Coward

          サンプルならキモの動作だけ示せば良いかと思って。

    • >ネコも杓子もPerlでCGI

      当時だとそれしかなかった、ような状況ですねえ……

      某ポータルサイトに関わってた頃ですが、そこでは C でがりがりに書いた CGI を、しかも DB が MySQL 3.23 の、それもベータ版で開発してた。
      ※サブクエリが使えなくて難儀するわ、ベータ版ならではというかバグ引いたりもした記憶が……
      --
      -- To be sincere...
    • by Anonymous Coward

      牧歌的な時代は「HTMLタグ何でも使える」って感じだった。
      HTML自体が低機能だったので、荒らされてもせいぜいブラクラぐらいだし。

    • by Anonymous Coward

      若い方に向けて補足しておくと、20年以上前は、今のブログシステム、CMS(ワードプレスなど)は無いので、HTMLエディタ(またはウィンドウズのメモ帳)やホームページビルダーというソフトウェアを使って作られた個人運営のWEBサイトが林立していた時代です。素人がPerlプログラムをHTML感覚でいじっていました。それがふつうでした。大抵の目的はアクセスカウンタ(今でいうユーチューブの再生数、チャンネル登録者数の様なもの)、掲示板、チャット、アンケート、ゲームです。

      今は、インターネットサービス事業者が提供するブログサービスをつかうことで一定のセキュリティ品質が保たれた個人サイトが構築できる(不適切なコードをコピーする必要が無い)ので、状況は良くなっているといえます。(コメント欄が荒らされたりはしますが。)
      事業者用サイトにしてもワードプレスの自動インストールまでできるあたり、隔世の感であります。

      >思い出してみると、恐ろしいというか牧歌的というか……
        若さ故ですね。赤ん坊と変わらない。(それなら幼さか?)

  • by Anonymous Coward on 2020年03月09日 15時50分 (#3775743)

    「国立感染症研究所のサーバーが感染」ってめっちゃ言いたいのに、踏み台じゃ言えない。

  • by Anonymous Coward on 2020年03月09日 15時58分 (#3775750)

    2000年頃か・・この頃はWebアプリ制作でもセキュリティがほとんど考慮されてなくて
    「仕様通りに遷移すればいい」
    って感じだったからな。

    自分が関わったものでも今考えるとXSSやSQL,OSコマンドインジェクションが起きそうで怖い。
    「さすがにもう使ってないだろ?」と思ってるのが現役ってことがあるし・・

    • by Anonymous Coward on 2020年03月09日 18時47分 (#3775847)

      心配だったので相談したら「WAFを通すから大丈夫!」と言われたので、「なーんだ大丈夫なんだー。心配して損しましたよ」って感じで納品した。
      その後のことは知らん。

      親コメント
    • by Anonymous Coward

      2000年頃なら,SQL はまだあまり使われてないから心配いらない。

      ウェブサーバが書き込み可能なテキストファイルが公開ディレクトリに置いておくのが主流だったろ?

      • by Anonymous Coward

        > ウェブサーバが書き込み可能なテキストファイルが公開ディレクトリに置いておくのが主流だったろ?

        フォームでIDを入力、そのIDに拡張子 dataをつけてファイル名にしてそれをオープン・・・
        はい、そこにOSコマンドインジェクション。
        ・・・とかね。

        • by Anonymous Coward

          Perlのopenは超簡単にOSコマンドインジェクションを起こせる恐るべき仕様だったからな(いやリモートシェル上で普通に使う分には便利なんだけど)。

          • by taka2 (14791) on 2020年03月10日 10時46分 (#3776177) ホームページ 日記

            perl5導入された3引数openを使えば問題ない。んだけど、
            perl5が出たの1994年なのに、CGI全盛期まで長らくperl4がはびこってたし、
            互換性を引きずりすぎて、手軽な穴がいっぱい残った印象がある。
            taintモードで動かすだけでも、手軽にかなり安全になるのに…

            親コメント
      • by Anonymous Coward

        ふつーにSQL使ってましたが。
        MySQLよりPostgreSQLのほうが多かったと思う。

      • by Anonymous Coward

        俺のやってた仕事じゃ使ってたぞ。
        まだまだオープンソース系DBの評価がいまいちだったから
        だいたいDB2かOracleだったな。

        ターゲットはWebSphereだけど
        開発テストで使ってたのはTomcat ver3の時代・・

    • by Anonymous Coward

      ps2の予約者漏洩が2000年だったはず。
      インジェクションの類はもう知られていたような。

  • by Anonymous Coward on 2020年03月09日 16時34分 (#3775771)

    20年前のPerlで書かれたCGIが動いているサーバーって他にもたくさん脆弱性ありそう。
    OSは新しくしていたのだろうか。

    つーか、今時ファイルサーバーをインターネットからアクセスできるようにしているって研究所のセキュリティ管理やばすぎ。

    • by Anonymous Coward

      5ちゃん「そだねー」

      • by Anonymous Coward

        2ちゃんは掲示板荒らしとかの「ストレステスト」に晒されてたからセキュリティに気を付けてある方だぞ。

        当時のセキュリティ問題のほとんどは黎明期のphpに手を出した素人が作ってた。

    • by Anonymous Coward

      OSも普通にバージョンフリーズの概念でそのままに決まってるじゃないですかー
      Linux 2.2だったらうれしいぐらいかな?
      SAMBAはもちろんSMB1.0しか動かないだろうから、ファイルサーバー=FTPの公開サーバーのことじゃないかな?

    • by Anonymous Coward

      インターネットはend-to-endですよ。
      通信の遮断、制限なんてせずに、全てのインターネットノードがend-to-endで通信できるのが絶対正義なのです。
      それが次世代プロトコルであるIPv6の思想なのです。

      (だからIPv6はダメなんだよ)

  • by Anonymous Coward on 2020年03月09日 18時13分 (#3775831)

    2000年〜2010年ごろだと所内のサーバ/NW機器はハードウェア・OSレベルの保守のみで上物はいわゆる情シス的な立ち位置の先生方が自前で作っていたので、まあそういうこともあるだろうなと。
    #絶対AC

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...