情報セキュリティ
公開日:2024年7月5日
最終更新日:2024年7月12日
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。
近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。IPA は、昨年8月に公開した「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1、今年4月に公開した「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~」脚注2 で注意を呼び掛けています。
そのような中、IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用した攻撃による被害を確認しています。具体的には、国内の複数組織においてこの脆弱性が悪用され、当該製品が稼働する Web サービスに webshell が設置されていたとの指摘があります。
この脆弱性は、リモートからのコード実行が可能となるもので、CISA 脚注3 の KEV カタログ(Known Exploited Vulnerabilities Catalog 脚注4) にも、悪用された脆弱性として掲載されている状況です。
ネットワーク貫通型攻撃では、設置された webshell を通じて組織内ネットワークへの侵入が試みられることや他組織への踏み台としての機能が仕組まれることがあります。踏み台のケースにおいては、意図せずに他組織への攻撃活動に加担してしまうことに繋がるため、一種の ORB (Operational Relay Box 脚注5) となるおそれが高まります。なお、ORB 化を伴う攻撃事例として、C2 サーバとの通信の中継や攻撃元の隠蔽を目的として利用するケースを確認しています。
欧米においても、ネットワーク機器の脆弱性を悪用したうえでC2サーバとの中継装置として利用し、LotL戦術による高度な持続的脅威(長期潜伏)を伴い 脚注6、重要インフラを標的とする攻撃キャンペーン「Volt Typhoon」が大きな脅威となっています 脚注7。昨年には、APT 攻撃グループによる、日本でも利用者の多い TP-Link 社 (普聯技術有限公司) 製のルータ製品などを対象とした攻撃キャンペーンがあり、被害に遭った製品は ORB 化し、更なる攻撃に利用されたとの旨のレポートも公表されています 脚注8。
ネットワーク貫通型攻撃では、企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品や VPN 機器、サーバなどの脆弱性が狙われます。そのため、日々の確認や平時の備えが重要です。
IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用したネットワーク貫通型攻撃による被害を確認しています。国内の複数組織においてこの脆弱性が悪用され、当該 Web サービスに webshell が設置されていたとの指摘があります。
今後も、APT 攻撃グループによって、本件脆弱性を悪用するネットワーク貫通型攻撃が行われる可能性があります。また、ORB 化についても注意が必要な状況です。
PHP を利用されている場合は、早急に修正対策プログラムを適用してください。また、既に修正対策プログラムを適用している場合であっても、ORB 化を含め、攻撃被害の確認を通信ログなどから行ってください。もし、攻撃による何らかの被害が生じた可能性が確認された場合には、「本件に関する情報提供窓口」まで届出することをご検討ください。
CVE-2024-4577 について、悪用した攻撃が日本国内において発生しているという情報を確認しています。
CVE-2024-4577 の EPSS 脚注9 に係る値(EPSS 値 脚注10、パーセンタイル 脚注11)は、以下の数値となっており、注意が必要です。
注釈:2024年7月4日付のEPSSのデータに基づく
Windows 上で動作する以下のバージョンが影響します(CVE の記載より 脚注12)。
また、The PHP Group によると 5系、7系、および、8.0系については、現在サポート終了(EoL)しているとのことです。
NVD 等では、影響を受けるとの情報もあることからサポートされているバージョンへのアップグレードを推奨します。
経済産業省は、2023 年 5 月 29 日に「ASM (Attack Surface Management) 導入ガイダンス ~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」脚注13 を公表しています。攻撃面 (アタックサーフェス 脚注14) のリスク評価等についても触れられていますので、ご活用ください。
独立行政法人情報処理推進機構(IPA) セキュリティセンター
コンピュータウイルス・不正アクセスに関する情報提供窓口
注釈:個別のシステムおよび環境に関するご質問はシステム・製品等を調達したベンダ・保守事業者・販社などの契約先にお問合せください。
2024年7月12日
「影響を受けるシステム」「脚注」の内容を更新
2024年7月5日
掲載