Cisco Japan Blog
Share

コンテンツ タイプ:Apache のバグを悪用した新しいゼロディ攻撃


2017年3月22日


Talos では、Apache に新しい脆弱性があり、これを突いたエクスプロイトが多発していることを確認しています。この脆弱性(CVE-2017-5638)はリモート コード実行のバグで、Apache Struts の「Jakarta Multipart parser」に影響します(こちらのセキュリティ アドバイザリpopup_iconを参照)。Talos ではエクスプロイトの試みについて調査を開始しており、多数のエクスプロイト イベントを発見しています。エクスプロイトの試みの大半は、各種コマンドを実行するため、公開済み PoC を悪用している模様です。Talos では、単純なコマンド(「whoami」)だけでなく、悪質な ELF 実行ファイルやその実行をプルダウンする手口を含む、より洗練されたコマンドも確認しています。

今回の脆弱性が多用されている現状を踏まえて、可能であれば直ちにアップグレードするか、または上記のセキュリティ アドバイザリの指示に従い回避策を取ることが推奨されます。

 

エクスプロイトの試み

データを調べる中で、この脆弱性が標的にされていること、そして検出を阻止するため  2017 年 3 月 7 日popup_iconにリリースされたシグニチャ(41818, 41819)が使用されていることを裏付ける痕跡が多数発見されています。

単純なプロービング攻撃

以下の手口は単純なプロービング攻撃の例です。Linux ベースの簡単なコマンドを実行することで、システムに脆弱性があるかどうかを調べています。

この例では、攻撃者は単に「whoami」というシンプルなコマンドを実行しています。このコマンドの狙いについては、サービス実行中のユーザーの権限を調べ、ルート権限を探し出すといった目的も想定されます。パワーユーザーが特定されると、攻撃者はより洗練されたコマンド セットを使用してくる可能性があります。上記以外のコマンドについても実行が確認されており、この中には例えばサーバ上のネットワーク構成を収集するための簡単な ifconfig も含まれています。

巧妙さを増す手口

以下の例は、悪意のあるペイロードを含んだアクティブな攻撃の別の例です。この中では手口がやや巧妙になっています。

この例では、攻撃者はよりアグレッシブな手順を用いています。Linux のファイアウォールだけでなく SUSE Linux のファイアウォールも停止させています。最終段階には、Web サーバから悪質なペイロードをダウンロードし、そのペイロードを実行することも含まれています。ペイロードは多岐にわたりますが、IRC バウンサー、DoS ボット、および Bill Gates ボットネットに関するサンプルが含まれています。この中ではペイロードが特権アカウントからダウンロード・実行されていますが、これは Linux ベースの侵害ケースでは珍しくありません。

巧妙な手口による永続化

以下の例は別の攻撃手口ですが、悪意のあるペイロードをダウンロードするという点で前述の手口と似ています。前述の例との違いは、永続化を試みていることです。この例では、ファイルを正常なディレクトリにコピーすることを試みており、実行可能ファイルが実行されシステムの起動時にファイアウォールサービスが無効になるよう仕向けています。

これらの例は、Talos が今も確認し阻止している数多くの攻撃手口のごく一部です。攻撃手口は、プロービング タイプとマルウェア タイプ の 2 種類に分類されます。配信されるペイロードは非常に多岐にわたっており、多くのサイトではすでに削除されていることもあってペイロードはもはや利用できません。

タイムライン

この特定の攻撃におけるタイムラインはやや不明瞭な部分もありますが、いくつか判明していることもあります。まず 2017 年 3 月 6 日に Apache から
セキュリティ アドバイザリpopup_iconが公開され、次に今回の攻撃についてのエクスプロイト コード PoC がリリースされています。

この脆弱性は、2017 年 3 月 7 日の正午過ぎに公開されました。この間に Talos はカバレッジをリリースしており、導入と同時にエクスプロイトの発生を確認しています。エクスプロイトは、その後も着実に増加しています。脆弱性を抱えたシステムが存在しており、エクスプロイトも比較的容易なことから、今後も同様の攻撃が多発する見込みです。

推奨

Apache の発表によると、特定バージョンの Apache Struts(2.3.32 / 2.5.10.1 以降)では脆弱が解消されており、アップグレードを勧めています。この脆弱性を突いたエクスプロイトが多発している現状を踏まえると、直ちにアップグレードすることが強く奨励されます。今回の問題を検出するための追加カバレッジは、 NGIPS/NGFW にて提供されていますpopup_icon

カバレッジ

Talos では、本脆弱性に対処するため次のルールをリリースしています。今後、脆弱性に関する新たな情報が追加されるまでの間は、ルールが追加されたり、現行のルールが変更されたりする場合がありますのでご注意ください。最新のルールの詳細については、Defense Center、FireSIGHT Management Center、または Snort.orgpopup_icon を参照してください。

Snort SIDs: 41818、41819

IPS および NGFW によるネットワーク セキュリティでは、最新のシグニチャを使用して、脅威アクターによる悪意のあるネットワーク アクティビティを検出します。

高度なセキュリティ機能を備えた Meraki MXpopup_icon アプリケーションでは、Snort を活用して、脆弱性を悪用する試みを検出することができます。

 

 

 

 

本稿は 2017年3月8日に Talos Grouppopup_icon のブログに投稿された「Content-Type: Malicious – New Apache Struts2 0-day Under Attackpopup_icon」の抄訳です。

 

Tags:
コメントを書く