ボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.AESDDOS.J」として検出)が、2019年4月、トレンドマイクロが設置したハニーポットで検出されました。このマルウェアは、ソフトウェア企業「Atlassian」が開発する「Confluence Server」のWidget Connectorマクロにおいて、サーバサイドのテンプレートインジェクション脆弱性「CVE-2019-3396」を利用します。このソフトウェアは、DevOpsを採用する開発チームなどが利用するコラボレーションソフトウェアです。
弊社の調査では、このマルウェアの亜種は、脆弱なバージョンのConfluence Serverおよび「Confluence Data Center」を実行しているシステム上において以下の3つの攻撃を行うことが分かりました。
「Apache Tomcat」は、オープンソースのJavaサーブレットコンテナで、Apache Software Foundation(ASF)の支援を受けるコミュニティによって開発されました。このApache Tomcatは、「Java Servlet」、「JavaServer Pages(JSP)」、「Java Expression Language(EL)」、「WebSocket」を含むいくつかのJava EE の仕様を実装しており、Javaのみで記述された「ピュアJava」のHTTP Webサーバ環境を提供します。
セキュリティ企業「Nightwatch Cyber security」は、2019年4月15日、脆弱性「CVE-2019-0232」に関する情報を公開しました。この情報によると、Apache Tomcatの「Common Gateway Interface(CGI)」サーブレットに関して、遠隔からのコード実行(Remote Code Execution、RCE)の脆弱性が確認されました。この深刻度の高い脆弱性が悪用されると、攻撃者に任意のコマンドを実行されてしまう可能性があります。コマンドを実行するために、攻撃者はTomcatのCGIサーブレットが入力値を検証する際の不具合に起因するOSコマンドインジェクションを利用します。本記事では、この脆弱性の仕組み、可能性のある攻撃シナリオ、、そしてその脅威への対処について詳しく解説します。
(さらに…)
「Sonatype」が開発する「Nexus Repository Manager(NXRM)3」で重大な脆弱性「CVE-2019-7238」が確認されました。この脆弱性を利用すると、認証されていないユーザが細工したリクエストを送信することによって遠隔から任意のコードを実行することが可能になります。NXRMは、ソフトウェア開発、アプリケーションのデプロイ、ハードウェアの自動的な割り当てなどに必要なコンポーネントを管理することができるオープンソースのソフトウェアです。Sonatypeによると、NXRMは15万台以上のサーバで稼働しています。
続きを読むトレンドマイクロは、2018 年 5 月上旬、メキシコを発信源とする「Mirai」の亜種を利用したネットワークスキャン活動を確認しました。この攻撃は、2018 年 4 月にブラジルで確認された、Mirai を模倣した中国発のネットワークスキャン活動に類似しています。異なる点は、今回検出された活動の一部で、光通信規格「Gigabit Passive Optical Network(GPON)」を利用する家庭用ルータの 2 つの脆弱性、「CVE-2018-10561」と「CVE-2018-10562」を狙う攻撃が確認されたことです。これらの脆弱性を利用すると、機器への侵入と「遠隔でのコード実行(Remote Code Execution、RCE)」が可能になります。
続きを読むインターネットに接続されたデバイスで確認されてきた大規模な攻撃から得られる知見は、「モノのインターネット(Internet of Things、IoT)デバイス」にも多くの脆弱性が存在するということです。今回トレンドマイクロが実施した調査でも、デバイスまたはサービスへの攻撃やボットネットの構築に利用可能な脆弱性が確認されました。
弊社は 、2017 年、世界中で利用されている IoT デバイスのセキュリティについて詳細な調査を実施しました。さまざまな地域の Amazon で販売され、日本市場でも広く利用されている製品を含む複数のデバイスを選択し、「遠隔でのコード実行(Remote Code Execution、RCE)」の可否を確認しました。その結果、予想以上のことが明らかになりました。
続きを読むJava を利用したオープンソースの Web アプリケーション開発フレームワーク「Apache Struts」に、「遠隔でのコード実行(Remote Code Execution、RCE)」が可能な脆弱性「CVE-2017-9805」が確認されました。報道によると、Fortune 100 企業の少なくとも 65% が Apache Struts を利用して Web アプリケーションを構築していることから、この脆弱性の影響は広範囲に及ぶだろうとのことです。
「CVE-2017-9805」を突くと、広く利用されている REST(REpresentational StateTransfer)プラグインを利用している場合、Apache Struts で構築したアプリケーションが動作しているサーバで、任意のコード実行が可能になります。この脆弱性の原因となる不具合は、信用できない情報を「デシリアライズ(直列化復元)」する Apache Struts の安全でないメソッドに存在します。REST プラグインを利用している場合、Apache Struts のバージョン 2.1.2~2.3.33 および 2.5~2.5.12 がこの脆弱性の影響を受けます。攻撃者は、この脆弱性を利用することで、認証情報の窃取、データベースへの接続および全データの抽出等が可能となります。
続きを読むJava を利用したオープンソースの Web アプリケーション開発フレームワーク「Apache Struts」には、「Struts 1」と「Struts 2」という 2 つの主要バージョンが存在します。Struts 1 のサポートは 2008 年に終了しており、現在では 2007 年の初めにリリースされた Struts 2 が採用されています。Struts 2 への移行に際して「Struts 1プラグイン」が提供されており、Struts 1 のビジネスロジックを記述する「Action クラス」と、値を格納する「ActionForm クラス」はStruts 2 でも利用可能です。今回公表された脆弱性「CVE-2017-9791」は、「遠隔でのコード実行(Remote Code Execution、RCE)」を可能とするもので、Struts 1 プラグインで確認されました。影響を受けるバージョンは「Struts2.3.x」で、「2.5.x」に影響はありません。(「2.4.x」はリリースされていません。)
2017年3月に確認された前回の事例は、Apache Struts 2 の「Object Graph Navigation Language(OGNL)式」を利用して RCE が可能になる脆弱性でした。今回公表された CVE-2017-9791 も、OGNL 式を利用して RCE が可能になる脆弱性です。この脆弱性は、「S2-048」として公式サイトで報告されています。
続きを読むApache Struts は、オープンソースのフレームワークで、Java の Webアプリケーションを構築するために用いられます。過去に Apache Struts で確認された「リモートでコードが実行される脆弱性(Remote Code Execution、RCE)」をトレンドマイクロが調査したところ、ほとんどで「Object Graph Navigation Language(OGNL)」のプログラミング式が利用されていました。Apache Struts のプロセスの多くが OGNLを利用しているため、これを利用することで遠隔でのコード実行が容易になります。
続きを読む
