2022年および2023年に発生した古いセキュリティ問題に対して脆弱な、メンテナンス不良のデバイスを侵害しようとするハッカーの活動が増加しています。
脅威監視プラットフォームGreyNoiseは、ThinkPHPフレームワークとファイル共有・同期用のオープンソースownCloudソリューションに影響するCVE-2022-47945と CVE-2023-49103を活用する行為者の急増を報告しています。
どちらの脆弱性も深刻度はクリティカルで、悪用されると任意のオペレーティングシステムコマンドを実行されたり、機密データ(管理者パスワード、メールサーバー認証情報、ライセンスキーなど)を取得されたりする可能性があります。
最初の脆弱性は、6.0.14 より前の ThinkPHP フレームワークの language パラメータにおけるローカルファイルインクルード (LFI) の問題です。認証されていないリモートの攻撃者は、言語パック機能が有効になっているデプロイメントにおいて、この問題を利用して任意のオペレーティングシステムコマンドを実行することができます。
アカマイは昨年夏、中国の脅威関係者が 2023年10月以降、この欠陥を利用して狭い範囲での作戦を展開していると報告しました。
脅威モニタリングプラットフォーム、グレイノイズによると、CVE-2022-47945 は現在大量に悪用されており、攻撃元 IP の数が増加しています。
「GreyNoiseは、この脆弱性を悪用しようとする572のユニークなIPを観測しており、ここ数日で活動が増加している」と警告している。
これは、Exploit Prediction Scoring System (EPSS)のレーティングが7%と低く、CISAのKnown Exploited Vulnerabilities (KEV)カタログにこの欠陥が含まれていないにもかかわらずである。
ソースはこちら:Greynoise
2つ目の脆弱性は、人気のあるオープンソースのファイル共有ソフトウェアに影響し、URLを通じてPHP環境の詳細を公開するサードパーティのライブラリにアプリが依存していることから発生します。
2023年11月に開発者がこの脆弱性を最初に公表した 直後から、ハッカーたちはパッチを適用していないシステムから機密情報を盗むためにこの脆弱性を悪用し始めた。
その1年後、CVE-2023-49103はFBI、CISA、NSAによって、2023年に最も悪用された15の脆弱性の中にリストアップされた。
ベンダーがこのセキュリティ問題に対処するアップデートをリリースしてから2年以上が経過したにもかかわらず、多くの事例が依然としてパッチを適用されておらず、攻撃にさらされています。
GreyNoiseは、最近CVE-2023-49103の悪用が増加していることを観測しており、484のユニークなIPから悪意のあるアクティビティが発信されています。
:グレイノイズ
アクティブな悪用からシステムを保護するために、ユーザーはThinkPHP 6.0.14以降に、ownCloud GraphAPIは0.3.1以降にアップグレードすることが推奨されます。
また、潜在的に脆弱なインスタンスをオフラインにするか、ファイアウォールの背後に置き、攻撃対象領域を減らすことが推奨されます。
Comments