今回見つかったPHPの脆弱性のリスク

今回見つかったケースでは、PHPの脆弱性（CVE-2024-4577）を悪用し、攻撃者がサーバ外部から悪意あるプログラムファイル（Webシェル）をサーバに設置し、組織内ネットワークへの侵入や攻撃を仕掛ける危険性があります。

構成にもよりますが、攻撃を受けたサーバも含め社内ネットワークに統一されている場合は、同一ネットワーク内にあるデータベースやネットワークに接続するクライアントへマルウェアやランサムウェアを仕込むということも可能になります。

また、設置されたWebシェルによって、サーバ内のすべてのファイルを削除するようなプログラムを実行されてしまうこともあります。

サーバに公開されているサイトやシステム、アプリケーションを全て削除され、取り返しのつかない状態になることも考えられますので、この脆弱性への対応は必須と言えます。

脆弱性を持つPHPバージョン

今回この脆弱性を持つPHPバージョンは以下のものです。

• PHP8.3.8以下の8.3系
• PHP8.2.19以下の8.2系
• PHP8.1.28以下の8.1系
• PHP7以下のバージョン全部

WEBサイトの運用を自社で行っていたり、最近PHPバージョン更新を行っていない場合、PHP7系のバージョンや、最悪の場合PHP5系を使っているような環境もたまに出くわします。

サーバの管理画面から現在利用しているPHPバージョン情報の確認をおすすめします。

対応方法

今回の脆弱性はPHP8.1、8.2、8.3の最新バージョンで修正されたものがリリースされています。
もし、現在利用しているPHPのバージョンが脆弱性を持ったままのバージョンである場合は、修正が適用されているPHPバージョンに更新してあげましょう。

レンタルサーバのようなマネージドサーバの場合は、基本的にPHP8系を利用していればマイナーバージョンはサーバ管理会社が更新を行ってくれますので、特に対応を行う必要はありません。

ただ、もし今PHP7系以下のバージョンを利用している場合は、PHP8系へ切り替える操作を行う必要があります。

また、VPSやクラウドサーバ、オンプレ環境でのサーバを利用している場合はミドルウェアの管理は自身で行うことになりますので、新しいバージョンのPHPパッケージを手配し、インストールのし直しをする必要があります。

また、PHP7系以下→PHP8系へのバージョン更新の際は、PHP8系から廃止になっている関数などがいくつかありますので、今まで問題なく稼働していたシステムでエラーが発生する可能性があります。

本番環境のPHPバージョンをいきなり更新する前に、必ず開発環境で動作確認を行うようにしましょう。

日頃のメンテナンスの重要性

セキュリティ被害を未然もしくは最小限に抑えるためには、日頃からきちんとした保守を行い、適切なメンテナンスを行ってあげることが重要です。

サーバ管理者やサイト管理者が日常的に行えるメンテナンスをご紹介します。

定期的なバージョン更新

PHPやその他プログラミング言語だけではなく、サーバで利用しているOSや各種ミドルウェアは常に脆弱性の発見と修正が細かく行われています。

各バージョンにはEOSLというサポート期間が設けられており、サポートが終了したバージョンは脆弱性が見つかった場合でも修正されることはありません。

「動いてるからいい」という考えは改め、定期的なバージョン更新の意識を持つようにしましょう。

環境情報の漏洩を防ぐ

サーバやサイトへ攻撃をしようとする攻撃者は、不備により閲覧できるような環境情報がないか日常的に探しています。

例えばNginxのバージョン情報が出てしまっていたり、デバッグ用のphpinfoを出力したファイルが誰でも閲覧できる状態になっていた場合、脆弱性のある環境であることがバレてしまい、攻撃を受ける原因となります。

不必要に環境情報が漏れ出てしまわないよう対策を行いましょう。

サーバログ調査

特に海外向けというわけではなかったり、大規模サイトというわけではないWEBサイトでもサーバのアクセスログを見てみると、思った以上に不正アクセスを試みているログがあります。

WordPressの脆弱性を探っていたり、Laravelなどのフレームワークの脆弱性を無差別的に探っているケースが多いです。

こういった危険性のあるアクセスログに対し、該当のIPアドレスからのアクセスをブロックするなど対策を講じることをおすすめします。