Linux System をハックする深刻な脆弱性のリスト Top-15

Top 15 Vulnerabilities Attackers Exploited Millions of Times to Hack Linux Systems

2021/08/23 TheHackerNews — 1,400万近くの Linux ベースのシステムが、インターネットにダイレクトにさらされており、悪意の Web シェルや、暗号通貨マイナー、ランサムウェア、トロイの木馬などのデプロイメントといった、実在する多様な攻撃の格好の標的となっている。この記事は、Trend Micro が発表した Linux の脅威に関する調査結果に基づくものであり、ハニーポット/センサー/匿名化されたテレメトリーから収集したデータを基に、2021 年前半の Linux OS に影響をおよぼした脆弱性の詳細に説明している。

Linux ベースのクラウド環境を狙った約 1,500万件のマルウェアを検出した同社は、暗号通貨マイナーとランサムウェアがマルウェア全体の 54%を占め、Web シェルが 29% を占めていると述べている。さらに、同時期に 10万台の Linux ホストから報告された、5,000万件以上のイベントを分析した結果として、ワイルドに悪用された脆弱性、および、PoCエクスプロイトが存在する脆弱性の、Top-15 を公表している。

• CVE-2017-5638 (CVSS score: 10.0) – Apache Struts 2 remote code execution (RCE) vulnerability
• CVE-2017-9805 (CVSS score: 8.1) – Apache Struts 2 REST plugin XStream RCE vulnerability
• CVE-2018-7600 (CVSS score: 9.8) – Drupal Core RCE vulnerability
• CVE-2020-14750 (CVSS score: 9.8) – Oracle WebLogic Server RCE vulnerability
• CVE-2020-25213 (CVSS score: 10.0) – WordPress File Manager (wp-file-manager) plugin RCE vulnerability
• CVE-2020-17496 (CVSS score: 9.8) – vBulletin ‘subwidgetConfig’ unauthenticated RCE vulnerability
• CVE-2020-11651 (CVSS score: 9.8) – SaltStack Salt authorization weakness vulnerability
• CVE-2017-12611 (CVSS score: 9.8) – Apache Struts OGNL expression RCE vulnerability
• CVE-2017-7657 (CVSS score: 9.8) – Eclipse Jetty chunk length parsing integer overflow vulnerability
• CVE-2021-29441 (CVSS score: 9.8) – Alibaba Nacos AuthFilter authentication bypass vulnerability
• CVE-2020-14179 (CVSS score: 5.3) – Atlassian Jira information disclosure vulnerability
• CVE-2013-4547 (CVSS score: 8.0) – Nginx crafted URI string handling access restriction bypass vulnerability
• CVE-2019-0230 (CVSS score: 9.8) – Apache Struts 2 RCE vulnerability
• CVE-2018-11776 (CVSS score: 8.1) – Apache Struts OGNL expression RCE vulnerability
• CVE-2020-7961 (CVSS score: 9.8) – Liferay Portal untrusted deserialization vulnerability

さらに困ったことに、Docker Hub の公式リポジトリで最も使われる 15種類の Docker Image には、python / node / wordpress / golang / nginx / postgres / influxdb / httpd / mysql / debian / memcached / redis / mongo / centos / rabbitmq などにまたがる、数百もの脆弱性が存在することが明らかになり、開発パイプラインの各段階において、多様で潜在的な脅威から、コンテナを保護する必要性が強調されている。研究者たちは、「ユーザーや組織は、Security by Design アプローチの活用や、多層的な仮想パッチ/脆弱性シールドの導入、最小特権の原則の採用、共有責任モデルの遵守など、セキュリティのベスト・プラクティスを常に適用する必要がある」と結論付けている。

この記事の参照元は、Trend Micro のレポートであり、なかなか見やすいチャートなどもあるので、お薦めです。そして、この記事で取り上げているのは、深刻な脆弱性のリストであり、それぞれにおいてワイルドな悪用および PoC エクスプロイトの存在が確認されているものとなっています。さっと眺めるだけでも、2017年〜2019年の脆弱性が目立ちますが、ひょっとすると、パッチが適用されていない時点で、コンテナに取り込んでしまい、そのままディプロイされているものなどが、あるのかもしれませんね。

%d bloggers like this: