記事本文(要約)
サイバーセキュリティ研究者が5月8日に日本のAmazonホスティングの251の悪意あるIPアドレスによる協調的なクラウドベースのスキャン活動を発表しました。この活動は75箇所の「露出点」をターゲットにし、CVEの悪用や誤設定のプローブ、諜報活動を含む75の行動を引き起こしました。これらの活動はAdobe ColdFusion、Apache Struts、Drupal、Elasticsearch、Oracle WebLogicなど幅広い技術を対象としており、具体的には以下の脆弱性が利用されました:
- Adobe ColdFusion — CVE-2018-15961 (リモートコード実行)
- Apache Struts — CVE-2017-5638 (OGNLインジェクション)
- Atlassian Confluence — CVE-2022-26134 (OGNLインジェクション)
- Bash — CVE-2014-6271 (Shellshock)
- Elasticsearch — CVE-2015-1427 (Groovyサンドボックスのバイパスとリモートコード実行)
このスキャンは5月8日のみ活発で、その前後では活動が確認されていませんでした。対策として、組織は悪意あるIPアドレスを即座にブロックすることが推奨されていますが、後の攻撃は異なるインフラから発生する可能性があるとされています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 28 May 2025 14:53:00 +0530
Original URL: https://thehackernews.com/2025/05/251-amazon-hosted-ips-used-in-exploit.html
詳細な技術情報
この文章に基づいて、セキュリティに関する詳細情報を以下にまとめます。
脆弱性の概要
- 対象技術:
- Adobe ColdFusion
- Apache Struts
- Apache Tomcat
- Drupal
- Elasticsearch
- Oracle WebLogic
- CVE番号と脆弱性の仕組み:
- Adobe ColdFusion: CVE-2018-15961 – リモートコード実行が可能な脆弱性。
- Apache Struts: CVE-2017-5638 – OGNLインジェクションを利用した脆弱性。
- Atlassian Confluence: CVE-2022-26134 – OGNL Injectionによる脆弱性。
- Bash: CVE-2014-6271 – 通称「Shellshock」として知られる、コマンドインジェクションの脆弱性。
- Elasticsearch: CVE-2015-1427 – Groovyサンドボックスを回避し、リモートコード実行が可能な脆弱性。
攻撃手法
- スキャン活動と攻撃内容:
- 75の異なる「公開ポイント」に対するスキャン活動。
- 悪意のあるIPが日本にロケートし、Amazonがホスティング。
- CVEのエクスプロイト、設定ミスのプローブ、再認識活動を含む。
- CGIスクリプトのスキャン、環境変数の露出、Git設定のクローリング、Shellアップロードチェック、WordPressの著者チェックが含まれる。
- これらの活動が企業のウェブインフラの脆弱なポイントを探していることを示す。
潜在的な影響
- 影響範囲:
- リモートコード実行によるシステムへの不正アクセス。
- ウェブアプリケーションの乗っ取りやデータ漏洩。
- 脆弱なポイントを利用した後続攻撃の展開。
推奨される対策
- 技術的対策:
- すぐに悪意のあるIPアドレスをブロックする。
- 関連するCVE番号に対応したソフトウェアパッチを適用する。
- ウェブサーバの設定を確認し、適切なセキュリティ設定を導入する。
- 予防措置とモニタリング:
- 不正アクセス検知システムを導入し、異常な振る舞いを監視する。
- インシデント対応計画を見直し、迅速な対応ができるようにする。
- 注意事項:
- 攻撃者が異なるインフラストラクチャを利用して再度攻撃を仕掛ける可能性があるため、継続的な監視が必要。
