Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

汎用Javaライブラリに深刻な脆弱性 - 探索行為も発生中

広く使われているJavaライブラリに深刻な脆弱性が存在し、主要ミドルウェアなども影響を受けるとしてセキュリティ機関が注意を呼びかけている。脆弱性を探索する探索行為も観測されている。

オープンソースのJavaライブラリ「Apache Commons Collections」において、シリアライズしたデータをデシリアライズする「InvokerTransformerクラス」に脆弱性が判明したもの。

シリアライズしたデータへコードを埋め込むことが可能であり、ネットワークやドライブから信頼できないデータを受け取り、デシリアライズの処理を行った場合にコードを実行されるおそれがある。

同ライブラリを活用するウェブアプリケーションにくわえて、主要ミドルウェア「WebLogic」「WebSphere」「Jenkins」「OpenNMS」にも同ライブラリが含まれており、波紋が広がっている。

問題の脆弱性は、米国でOWASPが開催した「AppSec California 2015」で研究者2名が1月に発表したが、修正などは行われていなかった。

同問題に対し、Foxglove Securityの研究者が、深刻な脆弱性にも関わらず、ここ最近注目を浴びた脆弱性のようにプレスリリースが発表されたり、名称が与えらることはなく、過小評価されていると指摘。主要ミドルウェアが影響を受けることを示す実証コードを公開した。

現在、脆弱性を根本的に解決する方法は用意されていない。応急処置として同クラスを無効化するパッチが公開されているほか、セキュリティ機関では信頼できないデータを受信しないよう注意を呼びかけている。

すでに今回の脆弱性を探索する動きも確認されている。警察庁によれば、複数のソフトウェアを対象に脆弱性を探し出すツールが公開されている。

また同庁では、実際に「WebLogic Server」の管理コンソールに対するアクセスを観測。ログインの試行などではなく、今回問題となっている脆弱性の探索が目的だったという。

アクセス元は不明で脆弱性を探索する目的は不明だが、攻撃に悪用される可能性もあるとして同庁は注意を呼びかけている。

(Security NEXT - 2015/11/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Spectre」「Meltdown」と類似した脆弱性2件が判明 - 数週間以内に更新予定
「baserCMS」に7件の脆弱性 - リモートより悪用のおそれ
「BIND 9.12」にリモートから攻撃可能な脆弱性が2件 - アップデートがリリース
管理甘い「Cisco Smart Install Client」の探索行為が増加 - 警察庁が注意喚起
攻撃狙う「Cisco Smart Install」は「デフォルトで有効」 - IOS利用者は注意を
「Nessus」にXSSやセッション固定など2件の脆弱性
GDPR対応で「WordPress」がアップデート - プライバシー保護機能を強化
「OneDrive」「Skype」などMS製複数アプリに脆弱性 - 修正は次期バージョン以降
「Cisco DNA Center」に複数の深刻な脆弱性 - アップデートがリリース
Adobe、「Acrobat/Reader」におけるPoC公開の脆弱性について訂正