2024.04.16

2024年3月度 MBSD-SOCの検知傾向トピックス

監視

Apache OFBizの脆弱性（CVE-2023-49070）を狙った攻撃

　今月は、オープンソースのエンタープライズプロセス自動化ERPシステムであるApache OFBizのコードインジェクションの脆弱性（CVE-2023-49070）を狙った攻撃が増加しました。2023年12月に公開された脆弱性です。下図は、2024年2月～3月における攻撃検知数の推移です。弊社SOCでは、脆弱性の公開以降は定常的に攻撃を検知していましたが、3月は特に攻撃が増加しました。

図. Apache OFBizの脆弱性（CVE-2023-49070）を狙った攻撃の検知数推移

　本脆弱性（CVE-2023-49070）を悪用された場合、認証を必要とせずに任意のコードを実行されてしまう恐れがあります。以下は、弊社SOCで検知した攻撃のパケットペイロードおよび2024年2月～3月における攻撃元国です。アメリカからの攻撃を多数観測しています。

図. Apache OFBizの脆弱性（CVE-2023-49070）を狙った攻撃
POST /webtools/control/xmlrpc;/?USERNAME&PASSWORD=s&requirePasswordChange=Y HTTP/1.1 Host: www.example.co.jp User-Agent: Go-http-client/1.1 Content-Length: 9072 <?xml version=""1.0""?> <methodCall> <methodName>ProjectDiscovery</methodName> <params> <param> <value> <struct> <member> <name>test</name> <value> <serializable xmlns=" 以下省略

表. 上記の脆弱性を狙った攻撃元国上位5件
#	2024年2月		2024年3月
1	アメリカ	63.4%	アメリカ	86.8%
2	香港	5.8%	カナダ	1.3%
3	カナダ	4.4%	イギリス	1.0%
4	オランダ	3.9%	オランダ	0.9%
5	ドイツ	3.0%	シンガポール	0.9%

　Apache OFBizは、2024年2月末にパストラバーサルの脆弱性（CVE-2024-25065、CVE-2024-23946）も公開されており、ファイルへの不正アクセスやファイルインクルード攻撃の恐れがあります。当該製品を使用されている場合は、早急に最新のバージョンにアップデートすることをお勧めします。

影響対象