TCP 10000番ポートスキャンが増加中、踏み台化も発生 - JPCERT/CC注意喚起

JPCERT/CC(JPCERTコーディネーションセンター)は10日、TCP 10000番ポートへのスキャンが2014年9月下旬より増加しているとし、注意を呼びかけた。実際に攻撃を受け、別の攻撃への踏み台にされているケースも発生している。

TCP 10000番ポートは、Webベースのシステム管理ツール「Webmin」の標準ポートとして利用されることが多い。さらに、先日公開されて問題となっている「GNU bash」脆弱性の影響を受ける。JPCERT/CCでは、Webminと脆弱性の影響を受けるバージョンのGNU bashが動作する環境において、Webminの権限で任意のコードが実行可能であること確認済み(Webminは標準インストールでroot権限動作)。

JPCERT/CCの観測によると、ポートスキャン元のIPアドレスにおいて、Webminのログイン画面と推測される応答を確認。Webminが稼働するサーバが攻撃を受けた結果、第三者への攻撃の踏み台とされ、TCP 10000番ポートに対するスキャン増加の原因との見解を述べている。実際に攻撃の踏み台となっている事例もあり、JPCERT/CCが判断したIPアドレスのネットワーク管理者に連絡しているという。