本ブログ記事は、2022年4月6日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
攻撃者がリモートコード実行(RCE)を実施することを可能にする Spring4Shell という新しい脆弱性が注目を浴びています。この脆弱性は、JAVA アプリケーションの開発に広く利用されている Spring フレームワークで発見されました。脆弱性についての詳細は、CVE-2022-22965に記載されています。Spring フレームワークに関連する脆弱性はこのほかにも最近報告されていますが、この記事では Spring4Shell に特に焦点を当てています。
この脆弱性は National Vulnerability Database により 9.8 「緊急(critical)」と評価されています。不幸中の幸いになりますが、最近のもう一つの「4shell」脆弱性である Log4Shell とは異なり、Spring4Shell がもたらすサイバーリスクはかなり小さいようです。これは、攻撃者がこの欠陥の悪用に成功するためには複数の条件が存在する必要があるからです。
Spring4Shell 脆弱性の悪用に成功するには、アプリケーションには以下のことが必要です。
- Java Development Kit (JDK)バージョン 9 以降で動作する。
- Apache® Tomcat® をサーブレットコンテナとして使用している。
- Web アプリケーションリソース(WAR)ファイルとしてデプロイされる。
- 依存関係として Spring WebMVC または Spring WebFlux を含んでいる。
弊社の現時点での理解では、これらの条件が当てはまらないアプリケーションは、悪用される危険はないはずです。当然、研究者や脅威アクターが Spring4Shell について調査し、その仕組みについてさらに洞察を得るとこれは変わる可能性があります。
Spring4Shell が自社に影響を及ぼすのではないかと疑問に感じている企業は、ソフトウェアインベントリスキャンまたはネットワークスキャンを行い、自社の環境のどこに脆弱性のあるアプリケーションが存在しているのかを確認できます。Spring 5.3.18 以上のバージョンは Spring4Shell の影響を受けないため、これらのバージョンへのアップグレードも推奨されます。
CylancePROTECT® および CylanceOPTICS® を使用している BlackBerry のお客様は、Spring4Shell の悪用によって展開されるマルウェア攻撃から引き続き保護されます。Spring4Shell 脆弱性に関する専門的な支援については、BlackBerry のインシデント対応サービスまでご連絡ください。https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
・サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
・BlackBerry Japan:https://www.blackberry.com/ja/jp