知って得するセキュリティのはなし その156
Webアプリケーションフレームワーク「Spring Framework」に致命的な脆弱性「Spring4Shell」発見…至急アップデートを
1.このニュースをざっくり言うと
- 3月31日(現地時間)、仮想マシンソフトウェアを提供するVMware社より、同社傘下で開発されているJava製のWebアプリケーションフレームワーク「Spring Framework」に重大な脆弱性(CVE-2022-22965)が存在すると発表されました(同日、JPCERT/CCおよびIPAからも相次いで注意喚起が出されています)。
- 「Spring4Shell」と名付けられた脆弱性は、Spring Framework バージョン5.3.0~5.3.17および5.2.0~5.2.19に存在し、悪用により、Webサーバー上で任意のコードが実行可能になり、サーバーの乗っ取り等に繋がる恐れがあるとされています。
- 発表時点で被害は確認されていないものの、脆弱性の有無を実証するコードが公開されているとのことです。
- 脆弱性を修正したバージョン5.3.18および5.2.20が同時にリリースされ、アップデートが強く推奨されています。
2.執筆者からの所感等
- VMware社に報告された攻撃シナリオの成功には「JDK 9以降を使用」「Apache Tomcatをサーブレットコンテナとして使用」「WAR形式でデプロイ」「プログラムがspring-webmvcあるいはspring-webfluxに依存」といった条件を満たす必要があったとされていますが、該当する環境は決して少なくはないとみられ、また今後これらを満たさない場合にも悪用が可能となる攻撃コードが出回る可能性は十分に考えられます。
- 同じくJava上で動作するWebアプリケーションフレームワークとして一昔前に主流だったStrutsにおいても過去頻繁に脆弱性が報告され、これを悪用した攻撃による情報流出事故が度々発生していたのを鑑みれば、未対策のWebサイトは今この時点でも攻撃者によって探索され、攻撃を受ける恐れがあるため、根本的な対策として、Spring Frameworkを利用している全ての環境で速やかにセキュリティアップデートの適用が行われることが肝要です。
- 万が一アップデートが間に合わない、あるいは実行できない場合のみならず、今回Spring Frameworkを利用していなかったとしても、他のアプリケーションにおいて脆弱性が発見され、攻撃を受ける場面をもカバーできるよう、Webサーバーの前面にWebアプリケーションファイアウォール(WAF)を設置することにより、不審なリクエストを遮断するよう防御することも、十分検討に値するでしょう。
