PHPの脆弱性（CVE-2024-4577）を狙う攻撃について

注釈：追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

  近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。IPA は、昨年8月に公開した「インターネット境界に設置された装置に対するサイバー攻撃について ～ネットワーク貫通型攻撃に注意しましょう～」脚注1、今年4月に公開した「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ～Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃～」脚注2 で注意を呼び掛けています。

  そのような中、IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用した攻撃による被害を確認しています。具体的には、国内の複数組織においてこの脆弱性が悪用され、当該製品が稼働する Web サービスに webshell が設置されていたとの指摘があります。
  この脆弱性は、リモートからのコード実行が可能となるもので、CISA 脚注3 の KEV カタログ(Known Exploited Vulnerabilities Catalog 脚注4) にも、悪用された脆弱性として掲載されている状況です。 

ネットワーク貫通型攻撃について

  ネットワーク貫通型攻撃では、設置された webshell を通じて組織内ネットワークへの侵入が試みられることや他組織への踏み台としての機能が仕組まれることがあります。踏み台のケースにおいては、意図せずに他組織への攻撃活動に加担してしまうことに繋がるため、一種の ORB (Operational Relay Box 脚注5) となるおそれが高まります。なお、ORB 化を伴う攻撃事例として、C2 サーバとの通信の中継や攻撃元の隠蔽を目的として利用するケースを確認しています。
  欧米においても、ネットワーク機器の脆弱性を悪用したうえでC2サーバとの中継装置として利用し、LotL戦術による高度な持続的脅威（長期潜伏）を伴い 脚注6、重要インフラを標的とする攻撃キャンペーン「Volt Typhoon」が大きな脅威となっています 脚注7。昨年には、APT 攻撃グループによる、日本でも利用者の多い TP-Link 社 (普聯技術有限公司) 製のルータ製品などを対象とした攻撃キャンペーンがあり、被害に遭った製品は ORB 化し、更なる攻撃に利用されたとの旨のレポートも公表されています 脚注8。

一般的な対策

  ネットワーク貫通型攻撃では、企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品や VPN 機器、サーバなどの脆弱性が狙われます。そのため、日々の確認や平時の備えが重要です。

1.日々の確認

• 各種ログ監視による不審なアクセス等がないかの確認
  
• 製品ベンダやセキュリティベンダ等より発信される情報の収集
• 自組織で利用するネットワーク機器の外部公開状態の確認

2.平時の備え

• 製品ベンダから発信された情報を基に対応するための体制整備
• ゼロデイの脆弱性情報または、攻撃を確認した際の対応手順整備
• 整備した体制、対応手順が運用可能なものであるかの確認と随時の改善

PHP の脆弱性について

  IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用したネットワーク貫通型攻撃による被害を確認しています。国内の複数組織においてこの脆弱性が悪用され、当該 Web サービスに webshell が設置されていたとの指摘があります。 
  今後も、APT 攻撃グループによって、本件脆弱性を悪用するネットワーク貫通型攻撃が行われる可能性があります。また、ORB 化についても注意が必要な状況です。  
  PHP を利用されている場合は、早急に修正対策プログラムを適用してください。また、既に修正対策プログラムを適用している場合であっても、ORB 化を含め、攻撃被害の確認を通信ログなどから行ってください。もし、攻撃による何らかの被害が生じた可能性が確認された場合には、「本件に関する情報提供窓口」まで届出することをご検討ください。 

確認・注意いただきたい脆弱性

• CVE-2024-4577
  • PHPにおけるOSコマンドインジェクション

CVE-2024-4577 について、悪用した攻撃が日本国内において発生しているという情報を確認しています。 

CVE-2024-4577 の EPSS 脚注9 に係る値（EPSS 値 脚注10、パーセンタイル 脚注11）は、以下の数値となっており、注意が必要です。

• CVE-2024-4577 … EPSS：96.683% パーセンタイル：99.663%

注釈：2024年7月4日付のEPSSのデータに基づく

影響を受けるシステム

Windows 上で動作する以下のバージョンが影響します（CVE の記載より 脚注12）。

• PHP 8.1.29より前の8.1系
  
• PHP 8.2.20より前の8.2系
  
• PHP 8.3.8より前の8.3系

  また、The PHP Group によると 5系、7系、および、8.0系については、現在サポート終了(EoL)しているとのことです。
  NVD 等では、影響を受けるとの情報もあることからサポートされているバージョンへのアップグレードを推奨します。

対策

脆弱性の解消 - 修正プログラムの適用

• The PHP Group が提供する情報をもとに、脆弱性が解消されたバージョンへアップデートしてください。
  
  • PHP 8.1.29以降
    
  • PHP 8.2.20以降
  • PHP 8.3.8以降

参考

  経済産業省は、2023 年 5 月 29 日に「ASM (Attack Surface Management) 導入ガイダンス ～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」脚注13 を公表しています。攻撃面 (アタックサーフェス 脚注14) のリスク評価等についても触れられていますので、ご活用ください。

脚注

1. 脚注1
   インターネット境界に設置された装置に対するサイバー攻撃について ～ネットワーク貫通型攻撃に注意しましょう～
2. 脚注2
   アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ～Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃～
3. 脚注3
   米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA: Cybersecurity and Infrastructure Security Agency)
4. 脚注4
   Known Exploited Vulnerabilities Catalog
5. 脚注5
   Operational Relay Box (ORB) とは、攻撃トラフィックの中継機能を設置させられる被害を受けたサーバ等の端末のことです。ORB は、攻撃に関連する通信の送信元や送信先を隠匿するために利用されます。
6. 脚注6
   Living Off The Land 戦術等を含む最近のサイバー攻撃に関する注意喚起
7. 脚注7
   Volt Typhoon targets US critical infrastructure with living-off-the-land techniques
8. 脚注8
   Check Point Research reveals a malicious firmware implant for TP-Link routers, linked to Chinese APT group
9. 脚注9
   EPSS (Exploit Prediction Scoring System）とは、FIRSTが公開して いる機械学習による脆弱性評価モデルで、脆弱性の悪用が生じる可能性を数値で表現するものです。
10. 脚注10
    EPSS値とは、今後 30 日間に悪用される可能性を予測した値です。
11. 脚注11
    EPSSにおけるパーセンタイルとは、現在のランク以下のすべての値の割合であり、他の脆弱性との相対的な値です。EPSS のスコアをもつ脆弱性を EPSS の小さい方から順に全て並べた際に、全体を 100 として何番目に位置するかを示します。
12. 脚注12
    CVE-2024-4577（cve.org）
13. 脚注13
    「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を取りまとめました
14. 脚注14
    アタックサーフェスとは、組織の外部 (インターネット) からアクセス可能な IT 資産のことで、「攻撃面」や「攻撃対象領域」、「アタックサーフェイス」とも呼ばれています。