Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

汎用Javaライブラリに深刻な脆弱性 - 探索行為も発生中

広く使われているJavaライブラリに深刻な脆弱性が存在し、主要ミドルウェアなども影響を受けるとしてセキュリティ機関が注意を呼びかけている。脆弱性を探索する探索行為も観測されている。

オープンソースのJavaライブラリ「Apache Commons Collections」において、シリアライズしたデータをデシリアライズする「InvokerTransformerクラス」に脆弱性が判明したもの。

シリアライズしたデータへコードを埋め込むことが可能であり、ネットワークやドライブから信頼できないデータを受け取り、デシリアライズの処理を行った場合にコードを実行されるおそれがある。

同ライブラリを活用するウェブアプリケーションにくわえて、主要ミドルウェア「WebLogic」「WebSphere」「Jenkins」「OpenNMS」にも同ライブラリが含まれており、波紋が広がっている。

問題の脆弱性は、米国でOWASPが開催した「AppSec California 2015」で研究者2名が1月に発表したが、修正などは行われていなかった。

同問題に対し、Foxglove Securityの研究者が、深刻な脆弱性にも関わらず、ここ最近注目を浴びた脆弱性のようにプレスリリースが発表されたり、名称が与えらることはなく、過小評価されていると指摘。主要ミドルウェアが影響を受けることを示す実証コードを公開した。

現在、脆弱性を根本的に解決する方法は用意されていない。応急処置として同クラスを無効化するパッチが公開されているほか、セキュリティ機関では信頼できないデータを受信しないよう注意を呼びかけている。

すでに今回の脆弱性を探索する動きも確認されている。警察庁によれば、複数のソフトウェアを対象に脆弱性を探し出すツールが公開されている。

また同庁では、実際に「WebLogic Server」の管理コンソールに対するアクセスを観測。ログインの試行などではなく、今回問題となっている脆弱性の探索が目的だったという。

アクセス元は不明で脆弱性を探索する目的は不明だが、攻撃に悪用される可能性もあるとして同庁は注意を呼びかけている。

(Security NEXT - 2015/11/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

ブラウザ「Kinza」にXSS脆弱性 - 更新がリリース
OpenSSLに重要度「低」の脆弱性 - 更新用意なし
一部MSアプリで「OAuth」設定に不備 - アカウント奪取のおそれ
「Firefox 71」が登場、脆弱性11件を修正
資産管理製品「LanScope」に権限昇格の脆弱性
パッチ公開翌日から「PHP-FPM」への攻撃を観測 - PHP環境の情報収集も
WP向けスペルチェックプラグインにCSRFの脆弱性
「BlueKeep」など既知RDP脆弱性狙う攻撃に注意 - パッチ適用の徹底を
ワーム悪用懸念の脆弱性を含む端末が95万台弱
「WhatsApp」だけではない、Android向けGIF処理ライブラリの脆弱性に注意