
2023年7月度 MBSD-SOCの検知傾向トピックス
2023年7月度のMBSD-SOCにおける検知傾向トピックスです。
6月は、Atlassian Confluence ServerおよびData Centerの脆弱性(CVE-2022-26134)を狙った攻撃を新たに観測しました。本脆弱性はAtlassianが6/3(米国時間では6/2)に公開したもので、脆弱性の重大度は一番深刻なCriticalとなっています。本脆弱性を悪用された場合、認証されていないユーザでリモートから任意のコードを実行されてしまう恐れがあります。弊社SOCでは6/3(金)から攻撃を観測しています。
下図は、弊社SOCで検知した攻撃検知例です(URLエンコードはデコードして記載しています)。idコマンドを実行し、レスポンスヘッダX-Responseで結果を取得することを試みた通信となっています。
GET /${(#a=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec("id").getInputStream(),"utf-8")).(@com.opensymphony.webwork.ServletActionContext@getResponse().setHeader("X-Response",#a))}/ HTTP/1.1 |
攻撃元国の上位は以下の通りです。アメリカらの攻撃が多数を占めていました。
1 | アメリカ(70.6%) |
2 | ドイツ(15.9%) |
3 | ロシア(4.5%) |
4 | フランス(3.5%) |
5 | オランダ(1.8%) |
本脆弱性の影響対象は以下の通りです。既にメーカーから対策済みのバージョンおよび回避策が公開されています。影響対象のバージョンを使用している場合は、早急に対策することをお勧めいたします。
影響対象
参考情報
5月に初観測したF5 BIG-IPの脆弱性(CVE-2022-1388)を狙った攻撃は、6月は攻撃数が約3倍増加しました。下図は、5/1から6/30までの検知数推移グラフです。特に6/9(木)以降に攻撃が増加しました。
本脆弱性は、F5社が5/4(水)に公開したもので、iControl REST認証に脆弱性が存在し、悪用された場合は認証を回避して任意のコードを実行されてしまう恐れがあります。本製品を使用されている場合は、早急に対策済みのバージョンにアップデートすることをお勧めいたします。なお、攻撃元の国を先月と比較すると、ドイツ、インドネシアからの攻撃が増加していました。
# | 5月 | 6月 |
1 | アメリカ(27.0%) | ドイツ(18.9%) |
2 | オランダ(18.1%) | アメリカ(16.9%) |
3 | 香港(10.4%) | インドネシア(15.7%) |
4 | アルゼンチン(6.1%) | ブラジル(11.1%) |
5 | ドイツ(5.6%) | アルゼンチン(8.4%) |
参考情報
関連記事