2024.09.13

2024年8月度 MBSD-SOCの検知傾向トピックス

監視

Apache OFBiz の脆弱性（CVE-2024-38856）を狙った攻撃

　今月は、Apache OFBiz の脆弱性（CVE-2024-38856）を狙った攻撃を観測しました。Apache OFBizは、ERPやCRMなどのビジネスツールを提供するオープンソースのソフトウェアです。本脆弱性は、同製品におけるパストラバーサルの脆弱性（CVE-2024-36104）をバイパスする脆弱性となっています。攻撃が成功した場合、認証なしでリモートからコードを実行されてしまう恐れがあります。なお、先月のトピックで取り上げた「Apache OFBiz の脆弱性（CVE-2024-32113）」とは異なる脆弱性です。

　下図は、本脆弱性を狙った攻撃の検知数推移です。本脆弱性は、深刻度がImportant（4段階中上から2番目）であり、既にPoC（概念実証コード）が公開されているため、当該製品を使用されている場合は、早急に最新のバージョンにアップデートすることをお勧めします。また、米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が本脆弱性について注意喚起を促しており、KEV（Known Exploited Vulnerabilities Catalog）に追加されております。

図. Apache OFBiz の脆弱性（CVE-2024-38856）を狙った攻撃の検知数推移

　以下は、弊社SOCで検知した攻撃例です。外部から任意のコード実行を試みた通信となっています。

図. Apache OFBiz の脆弱性（CVE-2024-38856）を狙った攻撃例
POST /webtools/control/forgotPassword/ProgramExport HTTP/1.1 Host: xx.xx.xx.xx User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1944.0 Safari/537.36 Content-Length: 123 groovyProgram=throw new Exception('id'.execute().text);

　下表は、本脆弱性を狙った攻撃元国です。カナダからの攻撃を多数観測しています。