Microsoft が Spring4Shell 攻撃を検出:広範囲のクラウドで少量の悪用の施行

Microsoft detects Spring4Shell attacks across its cloud services

2022/04/05 BleepingComputer — Microsoft は、深刻なリモートコード実行 (RCE) 脆弱性 (Spring4Shell/SpringShell) を標的とした少量の悪用の試みを、同社のクラウド・サービスにおいて追跡していると発表した。この Spring4Shell の脆弱性 CVE-2022-22965 は、最も広く使用されているライトウェイト Java オープンソース・フレームワークとされる、Spring Framework に影響を与える。

Microsoft 365 Defender Threat Intelligence Team は、「当社のクラウド・インフラ/サービスに対する攻撃を定期的に監視し、より優れた防御を実現している。Spring4Shell が発表されて以来、Spring Cloud と Spring Core の脆弱性に対して、少量の悪用の試みを検出/追跡している」と述べている

Spring4Shell を悪用した Web シェルの展開

さらに、月曜日の報告書で Microsoft は、Spring Core フレームワークを実行しているサーバーに対して、攻撃者が特別に細工したクエリを送信し、Tomcat の root ディレクトリに Web シェルを作成することで、この Spring Core のセキュリティ欠陥を悪用できると説明している。続いて攻撃者は、この Web シェルを使って、侵入したサーバー上でコマンドを実行できる。

このセキュリティ・バグの深刻度を、Java ベースのロギング・ライブラリ Apache Log4j の脆弱性 Log4Shell と比較する人もいるが、特殊なコンフィグレーションを持つシステムだけに、Spring4Shell が影響を与えることを考えると、必ずしも正しいことではない。

  • JDK 9.0 以降を実行している。
  • Spring Framework バージョン 5.3.0〜5.3.17/5.2.0〜5.2.19/それ以前のバージョン。
  • サーブレット・コンテナとして Apache Tomcat を使用しえいる。
  • 従来の Java Web アーカイブ (WAR) としてパッケージ化され、スタンドアロン Tomcat インスタンスに展開される。組み込み Servlet コンテナまたはリアクティブ Web サーバーを使用する典型的な Spring Boot の展開には影響しない。
  • Tomcat に spring-webmvc または spring-webflux の依存関係がある。

それにもかかわらず Microsoft は、「JDK 9.0 以降を使用し、Spring Framework または、その派生フレームワークを使用しているシステムは、脆弱性があると考えるべきだ」と述べている。

管理者は、以下の悪意のないコマンドを使って、自身のサーバーが Spring4Shell 攻撃に対して脆弱かどうかを確認できる(HTTP 400 レスポンスは、少なくとも1つの PoC エクスプロイトに対してシステムが脆弱であることの証拠となる)。

curl host:port/path?class.module.classLoader.URLs%5B0%5D=0 を実行。

現在進行中の悪用に対する警告

米国の Cybersecurity and Infrastructure Security Agency (CISA) が、この脆弱性を Known Exploited Vulnerabilities カタログに追加したことを受け、Microsoft のクラウド・インフラに対して、Spring4Shell 攻撃が進行中であることが発見された。

火曜日に Check Point が発表したレポートによると、Spring4Shell の脆弱性 CVE-2022-22965 を持つ組織の約16%が、すでに悪用にさらされていると推定される。Check Point の研究者たちは、内部ソースのテレメトリ統計に基づき、先週末だけで約 37,000件の Spring4Shell の悪用試行を検出している。月曜日には VMware も、同社のクラウド・コンピューティングおよび仮想化の製品上で影響を及ぼす、Spring4Shell の不具合に対処するためのセキュリティ・アップデートを公開した。

文中にある VMware の件は、4月4日の「VMware と Spring4Shell:RCE に対する複数のパッチが提供された」をご参照ください。VMware や Cisco などは、CVSS 値を 9.8 にしています。まだ、CVE-2022-22965 の評価はマチマチという感じがしますが、Check Point による 37,000件の Spring4Shell の悪用試行の検出というのは、ちょっと怖いですね。

%d bloggers like this: