ボット型マルウェア「AESDDoS」の亜種(「Backdoor.Linux.AESDDOS.J」として検出)が、2019年4月、トレンドマイクロが設置したハニーポットで検出されました。このマルウェアは、ソフトウェア企業「Atlassian」が開発する「Confluence Server」のWidget Connectorマクロにおいて、サーバサイドのテンプレートインジェクション脆弱性「CVE-2019-3396」を利用します。このソフトウェアは、DevOpsを採用する開発チームなどが利用するコラボレーションソフトウェアです。
弊社の調査では、このマルウェアの亜種は、脆弱なバージョンのConfluence Serverおよび「Confluence Data Center」を実行しているシステム上において以下の3つの攻撃を行うことが分かりました。
「Apache Tomcat」は、オープンソースのJavaサーブレットコンテナで、Apache Software Foundation(ASF)の支援を受けるコミュニティによって開発されました。このApache Tomcatは、「Java Servlet」、「JavaServer Pages(JSP)」、「Java Expression Language(EL)」、「WebSocket」を含むいくつかのJava EE の仕様を実装しており、Javaのみで記述された「ピュアJava」のHTTP Webサーバ環境を提供します。
セキュリティ企業「Nightwatch Cyber security」は、2019年4月15日、脆弱性「CVE-2019-0232」に関する情報を公開しました。この情報によると、Apache Tomcatの「Common Gateway Interface(CGI)」サーブレットに関して、遠隔からのコード実行(Remote Code Execution、RCE)の脆弱性が確認されました。この深刻度の高い脆弱性が悪用されると、攻撃者に任意のコマンドを実行されてしまう可能性があります。コマンドを実行するために、攻撃者はTomcatのCGIサーブレットが入力値を検証する際の不具合に起因するOSコマンドインジェクションを利用します。本記事では、この脆弱性の仕組み、可能性のある攻撃シナリオ、、そしてその脅威への対処について詳しく解説します。
(さらに…)
Apache Struts は、オープンソースのフレームワークで、Java の Webアプリケーションを構築するために用いられます。過去に Apache Struts で確認された「リモートでコードが実行される脆弱性(Remote Code Execution、RCE)」をトレンドマイクロが調査したところ、ほとんどで「Object Graph Navigation Language(OGNL)」のプログラミング式が利用されていました。Apache Struts のプロセスの多くが OGNLを利用しているため、これを利用することで遠隔でのコード実行が容易になります。
続きを読む
