1. HOME
  2. ブログ
  3. Blog
  4. 海外ブログ
  5. 新たなRCE脆弱性に、Javaアプリケーションコミュニティが混乱

Info.

お知らせ

海外ブログ

新たなRCE脆弱性に、Javaアプリケーションコミュニティが混乱

新たなRCE脆弱性に、Javaアプリケーションコミュニティが混乱 のページ写真 1

トピック: Attacks and Threat Actors

2022年4月6日、Mike Vizard

Javaアプリケーションを構築するために広く採用されているSpringフレームワークの欠陥の公開を受け、リモートコード実行(RCE)に関わる新たなゼロデイ脆弱性がJavaアプリケーションコミュニティを揺さぶっています。

Spring4Shell として知られているこの脆弱性は、攻撃者がリモートでターゲットサーバー上の任意のコードを実行することを可能にします。この脆弱性により、HTTPリクエストを適切なハンドラ関数にマッピングするRequestMappingアノテーションを悪用する攻撃が可能となります。脆弱性は、RequestMappingがハンドラパラメータとして従来のJavaオブジェクトと併用されている場合に発生します。

このような攻撃により、あらゆるデータベースを含むすべてのウェブサイト内部データにアクセスできるようになる可能性があります。また、より多くの権限を得るため、あるいは内部ネットワークの他の部分にピボットするために、追加の内部リソースへのアクセスも可能となるかもしれません。影響を受けるJavaアプリケーションは、Springフレームワークのバージョン5.3.17または5.2.19とJava Development Kit(JDK)のバージョン9またはそれ以上を採用しています。

Spring4Shellの脆弱性が発表される直前には、オープンソースのLog4jソフトウェアで、RCEエクスプロイトが見つかりました。Log4jは、多くの組織がJavaアプリケーションによって作成されたログを管理するために依存しているLog4Shellとして知られています。Log4jの脆弱性の発見をきっかけに、セキュリティ研究者はJavaアプリケーション内の他のRCE脆弱性を発見するよう努力してきたようです。

脆弱性に対処するためのシフトレフト

このような脆弱性がほかにも存在するかどうかは誰も断言できませんが、サイバーセキュリティチームは最悪の事態に備えておくことをお勧めします。インシデント管理プロセスのモダナイゼーションに加え、多くの組織では、アプリケーション・セキュリティの責任をシフトレフトして開発者に委ねるDevSecOpsのベストプラクティスをより積極的に取り入れるようになっています。結局のところ、開発者はこうした脆弱性を修正しなければならないうえ、通常、どこで実行されているアプリケーションが影響を受ける可能性があるかをより深く理解しているからです。

もちろん、アプリケーションセキュリティの責任をどこまでシフトレフトするかについては、さまざまな議論があります。理論的には、多くの開発者がすべてのセキュリティアップデートを含むアプリケーションの全ライフサイクルの管理責任を負うようになってきています。問題は、ほとんどの開発者がセキュリティの専門知識をあまり持っていないことです。そこで多くの組織では、アプリケーション開発を管理するために採用している継続的インテグレーション/継続的デリバリ(CI/CD)プラットフォームに、さまざまな種類のコード解析ツールを組み込むことを検討しています。開発者をサポートする運用チームは、シフトレフトして開発者にすべてを委ねる代わりに、開発者がセキュリティの専門家になる必要がないように、実質的には開発者が携わる以前の段階にまでさらなるシフトレフトをしようとしているのです。

どのようなアプローチを取るにせよ、ソフトウェア・サプライチェーンに対する監視の目は、一連の著名な情報漏えい事件を受けて既に厳しくなっており、バイデン政権はより厳しい対応を求める大統領令を発出するに至っています。今の現実的な課題としては、ゼロデイ脆弱性が今後も発見される可能性があることを踏まえた上でどのレガシー・アプリケーションを維持するか、あるいは本質的により安全なプログラミング言語で開発された新しいアプリケーションに置き換えるかを決定することです。

問題は、公表されるゼロデイ脆弱性の件数が着実に増え続けていることです。残念ながら、脆弱性の開示に多くの注意を払っているのは、実際にこうした脆弱性の影響を受ける組織よりもむしろ、サイバー犯罪者のほうなのです。ゼロデイ脆弱性をまったく追跡していない組織も少なくありません。結局のところ、ゼロデイ脆弱性によって影響を受けた自社のアプリケーションの割合は、比較的小さいのかもしれません。

原文はこちら:
Another RCE vulnerability disrupts Java applications community
April 6, 2022 Mike Vizard
https://blog.barracuda.com/2022/04/06/another-rce-vulnerability-disrupts-java-applications-community/

関連記事