情報セキュリティ

アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~

最終更新日:2024年4月18日

注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

  近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。昨年 8 月に IPA が公開した、「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1 においても注意を呼び掛けています。

  そのような中、 IPA では、アドビ社が提供する Adobe ColdFusion の脆弱性 (CVE-2023-29300) を悪用した攻撃による被害を確認しています。具体的には、国内の複数組織においてこの脆弱性が悪用され、当該製品が稼働する装置に webshell が設置されていました脚注2
  この脆弱性は、リモートからのコード実行が可能となるもので、CISA 脚注3 の KEV カタログ(Known Exploited Vulnerabilities Catalog 脚注4) にも、悪用された脆弱性として掲載されている状況です。
  台湾のセキュリティベンダ TeamT5 社が 2024 年 3 月 18 日に公開した脅威情報によると、日本国内で少なくとも 66 台の装置が当該脆弱性によるセキュリティ侵害を受けているとされています脚注5

ネットワーク貫通型攻撃について

  ネットワーク貫通型攻撃では、設置された webshell を通じて組織内ネットワークへの侵入が試みられることや他組織への踏み台としての機能が仕組まれることがあります。踏み台のケースにおいては、意図せずに他組織への攻撃活動に加担してしまうことに繋がるため、一種の ORB (Operational Relay Box 脚注6) となるおそれが高まります。なお、ORB 化を伴う攻撃事例として、C2 サーバとの通信の中継や攻撃元の隠蔽を目的として利用するケースを確認しています。
  欧米においても、ネットワーク機器の脆弱性を悪用したうえで C2 サーバとの中継装置として利用し、重要インフラを標的とする攻撃キャンペーン「Volt Typhoon」が大きな脅威となっています脚注7。昨年には、APT 攻撃グループによる、日本でも利用者の多い TP-Link 社 (普聯技術有限公司) 製のルータ製品などを対象とした攻撃キャンペーンがあり、被害に遭った製品は ORB 化し、更なる攻撃に利用されたとの旨のレポートも公表されています脚注8

一般的な対策

  ネットワーク貫通型攻撃では、企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品や VPN 機器、サーバなどの脆弱性が狙われます。そのため、日々の確認や平時の備えが重要です。

1.日々の確認

  • 各種ログ監視による不審なアクセス等がないかの確認
  • 製品ベンダやセキュリティベンダ等より発信される情報の収集
  • 自組織で利用するネットワーク機器の外部公開状態の確認

2.平時の備え

  • 製品ベンダから発信された情報を基に対応するための体制整備
  • ゼロデイの脆弱性情報または、攻撃を確認した際の対応手順整備
  • 整備した体制、対応手順が運用可能なものであるかの確認と随時の改善

Adobe ColdFusion の脆弱性について

  IPA では、アドビ社が提供する Adobe ColdFusion の脆弱性 (CVE-2023-29300) を悪用したネットワーク貫通型攻撃による被害を確認しています。国内の複数組織においてこの脆弱性が悪用され、当該装置に webshell が設置されていました。
  今後も、APT 攻撃グループによって、本件脆弱性を悪用するネットワーク貫通型攻撃が行われる可能性があります。また、ORB 化についても注意が必要な状況です。 
  Adobe ColdFusion を利用されている場合は、早急に修正対策プログラムを適用してください。また、既に修正対策プログラムを適用している場合であっても、ORB 化を含め、攻撃被害の確認を通信ログなどから行ってください。もし、攻撃による何らかの被害が生じた可能性が確認された場合には、「本件に関する情報提供窓口」まで届出することをご検討ください。

確認・注意いただきたい脆弱性

  • CVE-2023-29300
    • 信頼できないデータのデシリアライゼーション

  CVE-2023-29300 について、悪用した攻撃が日本国内において発生しているという情報を確認しています。
  また、CVE-2023-29300 について公表したアドビ社のアドバイザリ「APSB23-40」脚注9 では、CVE-2023-29300 のほかに 2 件の脆弱性が含まれていますので、併せてご確認ください。

  • CVE-2023-29298
    • 不適切なアクセス制御
  • CVE-2023-29301
    • 過度な認証試行の不適切な制限

影響を受けるシステム

  • ColdFusion 2018 アップデート 16 およびそれ以前のバージョン
  • ColdFusion 2021 アップデート 6 およびそれ以前のバージョン
  • ColdFusion 2023 GA リリース (2023.0.0.330468)

注釈:最新の情報は、アドビ社のアドバイザリ脚注9 をご確認ください。

対策

脆弱性の解消 - 修正プログラムの適用

  • アドビ社が提供する情報をもとに、脆弱性が解消されたバージョンへアップデートしてください。
    • ColdFusion 2018 アップデート 17
    • ColdFusion 2021 アップデート 7
    • ColdFusion 2023 アップデート 1

注釈:最新の情報は、アドビ社のアドバイザリ脚注9 をご確認ください。

参考

  経済産業省は、2023 年 5 月 29 日に「ASM (Attack Surface Management) 導入ガイダンス ~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」脚注10 を公表しています。攻撃面 (アタックサーフェス脚注11) のリスク評価等についても触れられていますので、ご活用ください。

脚注

  1. 脚注1
  2. 脚注2
    設置された webshell は、開発の際に簡体字を含む文字・言語が用いられたとみられています。
  3. 脚注3
  4. 脚注4
  5. 脚注5
  6. 脚注6
    Operational Relay Box (ORB) とは、攻撃トラフィックの中継機能を設置させられる被害を受けたサーバ等の端末のことです。ORB は、攻撃に関連する通信の送信元や送信先を隠匿するために利用されます。
  7. 脚注7
  8. 脚注8
  9. 脚注9
  10. 脚注10
  11. 脚注11
    アタックサーフェスとは、組織の外部 (インターネット) からアクセス可能な IT 資産のことで、「攻撃面」や「攻撃対象領域」、「アタックサーフェイス」とも呼ばれています。

お問い合わせ先

本件に関する情報提供窓口

独立行政法人情報処理推進機構(IPA) セキュリティセンター
コンピュータウイルス・不正アクセスに関する情報提供窓口

注釈:個別のシステムおよび環境に関するご質問はシステム・製品等を調達したベンダ・保守事業者・販社などの契約先にお問合せください。

更新履歴

  • 2024年4月18日

    掲載