WSO2 の RCE 脆弱性:ワイルドな悪用が観察されているので要注意

Organizations Warned of Attacks Exploiting WSO2 Vulnerability

2022/04/26 SecurityWeek — 企業向けソフトウェア開発ソリューション・プロバイダーである WSO2 の製品だが、その深刻な脆弱性が野放し状態の攻撃にさらされている。WSO2 の Web サイトによると、同社の製品は Fortune 500 などの大手企業で使用されており、そのすべてが危険にさらされる可能性があるという。また、月曜日には Cybersecurity and Infrastructure Security Agency (CISA) も、この脆弱性を Known Exploited Vulnerabilities Catalog に追加し、5月16日までにパッチを適用するよう、それぞれの連邦政府機関に指示している。

この脆弱性 CVE-2022-29464 は、WSO2 の API Manager/Identity Server/Enterprise Integrator/Open Banking の各製品に影響を及ぼす。WSO2 は 2022年1月に、この脆弱性に対する一時的な緩和策を提供し、2月には修正版を配信したと、アドバイザリで述べている。

この脆弱性は、過去数年にわたり、多くの重大なバグを発見してきた DEVCORE の Orange Tsai が発見したものであり、リモートでのコード実行につながる、任意のファイルアップロードの問題であると説明されている。

WSO2 は、「ユーザー入力に対する不適切な検証により、悪意の為者は、ユーザーが管理するサーバーに任意のファイルをアップロードできる。この任意のファイル・アップロードの脆弱性の悪用に成功した攻撃者により、そのサーバー上でリモートコード実行が生じる可能性がある」とアドバイザリで述べている。

WSO2 vulnerability exploited in attacks



この脆弱性については、技術的な詳細と PoC エクスプロイトが公開されており、野放し状態の悪用が見られると、金曜日に Rapid7 は報告している。Rapid7 は、「攻撃者は、PoC エクスプロイトを悪用するような形で、侵害したターゲットに Web シェルとコインマイナーをドロップしているようだ。この悪用は、非常に簡単である」と指摘している。脅威インテリジェンス企業の Bad Packets も、悪用の試みを検知したと報告している。

CISA は、WSO2 のバグを含む、全体で6件の脆弱性を Known Exploited Vulnerabilities Catalog に追加した。このリストの脆弱性に対して、政府機関や民間組織は迅速な対処を求められることから、Must-Patch リストと呼ばれることが多いようだ。

今回リストに追加されたのは、Windows の2つのバグ CVE-2022-26904/CVE-2022-21919 と、Linux カーネルの Dirty Pipeである。

Wikipedia で WSO2 を調べてみると、「2005年に設立されたオープンソース・テクノロジ・プロバイダー。ローカルおよびインターネット全体で、API/Apps/Web サービスを統合するための、エンタープライズ・プラットフォームを提供」といったことが書かれています。そのメンバーは、IBM SOAP4J を開発し、そこから Apache SOAP が生まれたとも記されています。文中にも、数多くのエンタープライズ・システムで利用されていると書かれていますが、なんとなく納得です。そこに深刻な脆弱性がでて、積極的に悪用されている局面です。時間が前後していますが、昨日の「CISA 警告 4/25:WSO2/Microsoft/Linux/Jenkins などの7つの脆弱性が追加」も、ご参照ください。

%d bloggers like this: