CISA 警告:積極的に悪用されている Spring4Shell などを脆弱性リストに追加

CISA Warns of Active Exploitation of Critical Spring4Shell Vulnerability

2022/04/05 TheHackerNews — 月曜日に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、先日に公開された Spring Framework に影響を及ぼすリモートコード実行 (RCE) の脆弱性が、活発に悪用されているという証拠に基づき、Known Exploited Vulnerabilities Catalog に追加した。この深刻な脆弱性 CVE-2022-22965 (CVSS : 9.8) は、Java Development Kit 9 以降で動作する Spring Model-view-Controller (MVC) および、 Spring WebFlux アプリケーションに影響を与える。

先週に Praetorian の研究者である Anthony Weems と Dallas Kaman は、「この脆弱性を悪用するには、DataBinder を有効にしたエンドポイント (例えば、リクエストボディからデータを自動的にデコードする POST リクエスト) が必要であり、アプリケーション用のサーブレット・コンテナに大きく依存する」と指摘している。

現時点で、野放しになっている悪用の正確な詳細は不明だが、情報セキュリティ企業である SecurityScorecard は、「この脆弱性に対する活発なスキャンが、ロシアや中国の IP スペースの脅威アクターたちから行われていることが観察されている」と述べている。

同様のスキャン活動は、Akamai と Palo Alto Networks Unit42 にも観測されており、その試みは、バックドア・アクセス用の Web シェル展開し、他のマルウェアの配信/拡散などを目的とした、サーバー上で任意のコマンド実行につながる。

Sonatype 社が発表した統計によると、この問題が 3月31日に明らかにされてからも、Maven Central リポジトリのダウンロード総数のうち、潜在的に脆弱なバージョンの Spring Framework は 81% を占めている。

Cisco は、この脆弱性の影響を受ける可能性のある製品について、積極的に調査しており、以下の3つの製品が影響を受けることを確認している。

  • Cisco Crosswork Optimization Engine
  • Cisco Crosswork Zero Touch Provisioning (ZTP), and
  • Cisco Edge Intelligence

VMwareは、以下の3つの製品に脆弱性があると判断し、パッチと回避策を提供している。

  • VMware Tanzu Application Service for VMs
  • VMware Tanzu Operations Manager, and
  • VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)

VMware はアドバイザリにおいて、「影響を受ける VMware 製品のネットワークにアクセスできる脅威アクターは、この問題を悪用して、ターゲット・システムを完全に制御できる」と述べている。

また、CISA は、先週に Apple がパッチを適用した2つのゼロデイ欠陥 (CVE-2022-22674/CVE-2022-22675) と、Beastmode Mirai ベースの DDoS キャンペーンにより活発に武器化されている、D-Link ルータの深刻な脆弱性を CVE-2021-45382 をカタログに追加している。

2021年11月に CISA が発行した拘束力のある運用指令 (BOD) に従い、2022年4月25日までに連邦民間行政機関 (FCEB) は、特定された脆弱性を是正することが義務付けられている。

Maven Central リポジトリのダウンロード総数のうち、脆弱なバージョンの Spring Framework は 81% を占めているというのは驚きですが、3月11日の「Log4j とプロジェクトの関係:ダウンロードの 40% 以上が脆弱なバージョンという現実」でも、同じような状況が説明されていました。それと、CIAS ですが、脆弱性 Spring4Shell (CVE-2022-22965) についても、素早く悪用リストに加えましたね。2021年11月に始まったときに、一度に 300件+ が登録され、その後は、今回のように数件ずつ追加されるという展開でしたが、3月には 90件・60件という大量の追加があり、現時点では 600件を上回るところまできています。悪用の実績アリというレベルで、フルイにかけてくれる、とても素晴らしい発想だと思います。

%d bloggers like this: