ハニーポット観察日誌です。
第5回ハニーポッター技術交流会に、あと一歩で行けず Twitter実況を見ながら一人で黙々ブログ執筆しております。 (ハニポッター枠、補欠枠あと一人だった・・・)
観察期間:2018年 09月23日 - 09月29日
| CVE | 検知した回数 |
|---|---|
| CVE-2017-5638 | 78 |
| CVE-2017-0143 | 14 |
| CVE-2017-7269 | 9 |
| CVE-1999-0183 | 5 |
| CVE-2003-0825 | 2 |
| CVE-2014-3120 | 1 |
| CVE-2016-6563 | 1 |
いやいやCVE-2017-5638に対する攻撃多すぎたろ・・・
今回はCVE-2017-5638とCVE-2003-0825が初めて検知できたのでそれぞれ調査しました。
以前の記事で紹介したCVE
CVE-2017-0143
CVE-2017-7269
CVE-1999-0183
CVE-2014-3120
CVE-2016-6563
初回の記事で紹介済みです。
CVE-2017-5638
CVSS Score
10.0
概要
Apache Struts2.0に対する脆弱性。 リモートから任意のコードを実行される可能性があり、なんでもできてしまうのでとても危険度が高い脆弱性です。
当時(2017年3月頃)セキュリティニュースとして、日立さんや富士通さんなど大手ベンダーさんも注意喚起を行っていますね。
今回、78回も観測されたこの攻撃。 なんだ、この攻撃回数。今週のイチオシの脆弱性だったのかなぁ。
Twitter で検索してみたら下記のツイートがヒット。
We recently passed the one-year anniversary of Equifax’s announcement of the massive #databreach due to an exploit of an Apache Struts #vulnerability (CVE-2017-5638). Let's review remote code execution vulnerabilities and the importance of patching code. https://t.co/NNuyFrgCHI pic.twitter.com/xQi3XJZ9vC
— Checkmarx (@Checkmarx) 2018年9月28日
Checkmarx は、海外のセキュリティに特化した静的プログラム解析ツールを作成している会社さんのよう。
こんなブログ記事も新しく書いてくれていました。
ただ、CVE-2017-5638 の攻撃時間を見ると上記ブログの前から大量に攻撃を仕掛けられているので、相関関係はないですね。
評価値
| 評価基準名 | 評価値 | 備考 |
|---|---|---|
| 攻撃元区分(AV) | ネットワーク | |
| 攻撃条件の複雑さ(AC) | 低(Low) | アクセス条件や特別な権限は必要なし |
| 攻撃前の承認要否(Au) | 必要なし(Not Required) | - |
| 機密性への影響(C) | 全体的(Complete) | 全てのファイルが情報開示されてしまう |
| 完全性への影響( I ) | 全体的(Complete) | システムファイルを含む全てのファイルが改竄される可能性がある。 |
| 可用性への影響(A) | 全体的(Complete) | システムのシャットダウン、リソース不足を引き出す可能性がある。 |
JVN
JVNDB-2017-001621 - JVN iPedia - 脆弱性対策情報データベース
セキュリティニュース
CVE-2003-0825
CVSS Score
9.3
概要
特定の長さのパケットの長さを検証しないため、攻撃者は任意の攻撃を行えるらしい。
評価値
| 評価基準名 | 評価値 | 備考 |
|---|---|---|
| 攻撃元区分(AV) | ネットワーク | |
| 攻撃条件の複雑さ(AC) | 中(Medium) | 特別な権限を持ったアカウントが必要 |
| 攻撃前の承認要否(Au) | 必要なし(Not Required) | - |
| 機密性への影響(C) | 全体的(Complete) | 全てのファイルが情報開示されてしまう |
| 完全性への影響( I ) | 全体的(Complete) | システムファイルを含む全てのファイルが改竄される可能性がある。 |
| 可用性への影響(A) | 全体的(Complete) | システムのシャットダウン、リソース不足を引き出す可能性がある。 |
セキュリティニュース
まとめ
今週はCVE-2017-5638がとても多く、目を引く脆弱性でした。 もう少しデータが溜まったり、調査の仕方がわかれば、なぜ今週こんなに集中して観測されたかとか分かるようになるのかなー。
あー、ハニポッター技術交流会行きたかったな(しつこい)
