警察庁から以下の発表がされています。
Webminの脆弱性(CVE-2019-15107)を標的としたアクセスの観測について | 警察庁 @police
Webminの脆弱性CVE-2019-15107を標的としたアクセスが観測されているとのことで、Webmin利用者への対策を促しています。
本文中では何も解説は無いのですが、グラフ中に示されたポート番号にはWebminデフォルトのPort#10000だけではなく、Port#80とPort#20842も僅かながら示されています。少し調べてみると、Security NEXTの以下のニュースで言及がありました。
【セキュリティ ニュース】「Webmin」のソースコード改ざんで脆弱性、攻撃コード公開 - アクセス増加の観測も(3ページ目 / 全3ページ):Security NEXT
標準ポートとして利用される「TCP 10000番ポート」へのアクセスがほとんどだが、「TCP 80番ポート」「TCP 20842番ポート」へのアクセスも確認しているという。
なお、Security NEXTの本文中ではCVE-2019-15231と、警察庁とは異なるCVE IDが表記されていますが、このIDはCVE-2019-15107と同じ内容のためため却下されています。
NVD - CVE-2019-15231
実際にこれらのポートへのアクセスが増えているのか、私の使用する回線でも確認してみました。
TCP Port#10000への外部からの接続試行回数
月別に集計すると以下の通りでした。
| Month | Count |
|---|---|
| 2018-07 | 44 |
| 2018-08 | 48 |
| 2018-09 | 41 |
| 2018-10 | 36 |
| 2018-11 | 65 |
| 2018-12 | 37 |
| 2019-01 | 43 |
| 2019-02 | 34 |
| 2019-03 | 37 |
| 2019-04 | 60 |
| 2019-05 | 72 |
| 2019-06 | 76 |
| 2019-07 | 67 |
| 2019-08 | 101 |
※2019-08は8/25時点までの集計
なお、TCP Port#80へのアクセス試行は大量に記録されていますが、Webminの脆弱性を狙ったものか識別できないことに加え、特別増加しているような傾向も見られないため掲載していません。TCP Port#20842については、2019-08に接続を試みられていませんし、過去にも数回試行されただけで特に有意とは思えないため掲載していません。
こうしてみると、確かに2019-08は記録を取っている中で過去最多のアクセスが試みられていることが判ります。なんとなく今年4月辺りから増えているようにも見えますが、CVE-2019-15107が公開されたのは2019/8/15です。もしかすると脆弱性として公表される以前から、悪用が試みられていたのかもしれません。
また、前年比を算出可能な2019-07, 2019-08はそれぞれ約150%, 210%と増加基調にあることも判ります。
