ラック、JavaScript埋め込まないGumblarを発見
3月3日、ラックはWebサーバ「Apache」の設定の変更することで、アクセスを悪意あるWebサイトに転送する、新しいタイプのガンブラー(Gumblar)を発見したと発表した。
ascii.jp
「注意喚起」の記事 | LAC WATCH
「注意喚起」では、ラックが把握した脆弱性やランサムウェアなどサイバー攻撃に関する情報をいち早く発信します。解説するのは、サイバー救急センターやセキュリティ監視センター(JSOC)、セキュリティ診断チームなどの専門家です。
www.lac.co.jp
セキュリティベンダーのラックが昨今流行しているGumblarについて、JavaScriptを埋め込まず「.htaccess」に悪意あるサイトに対してリダイレクトするように設定したものが出現しているようです。
一方、新タイプのGumblarは、Webサーバーに侵入してApacheの設定ファイル「.htaccess」の不正アップロードを行なう。.htaccessは、コンテンツへのアクセス制限やCGIの許可などを設定したファイルで、Gumblarの.htaccessには悪意あるWebサイトへリダイレクトする設定が記述されている。.htaccessによるリダイレクトはスクリプトを使わないため、JavaScriptを無効にしていても、悪意あるWebサイトにアクセスさせられてしまうわけだ。
https://ascii.jp/elem/000/000/504/504239/
【Webサーバ管理者の対策】
https://www.lac.co.jp/lacwatch/alert/
身に覚えのない.htaccessファイルが存在しないかを確認してください。FTP転送ログで.htaccessファイルがアップロードされていないかを確認するのも有効です。
今のところトップディレクトリに単発でアップロードされているだけのようなので、サイトを管理している方は是非チェックしてみてはいかがでしょうか。
