SecurityInsight | セキュリティインサイト

警察庁、Apache Tomcatの脆弱性を標的としたアクセスの観測等について報告

警察庁の@policeは3月25日、Apache Tomcatの脆弱性を標的としたアクセスの観測と宛先ポート9530/TCPに対するMiraiボットの特徴を有するアクセスの増加について報告した。その概要は以下のとおり。

2月24日、Apache Tomcatの脆弱性(CVE-2020-1938)に関する情報が、Apache Software Foundationより公開された。この脆弱性が悪用された場合、遠隔から攻撃者により情報の窃取や、任意のコードを実行されるなどの可能性がある。また、海外の共有ウェブサービスにおいて、この脆弱性を対象としたPoCが公開されていることを確認した。

警察庁のインターネット定点観測において、2月21日に宛先ポート8009/TCPに対するアクセスの急増を観測した。観測したアクセスの大半は脆弱性スキャンツールを利用したものと思料されるアクセスで、2月21日以降、一部にPoCに関連するアクセスを観測した。

このアクセスは、本来は外部からアクセスできないファイルに対して、脆弱性の存在する環境の場合にアクセスできることを確認するためのものだった。

脆弱性のあるバージョンは以下。
・Apache Tomcat 9.0.0.M1から9.0.30
・Apache Tomcat 8.5.0から8.5.50
・Apache Tomcat 7.0.0から7.0.99

使用しているApache Tomcatのバージョンが脆弱性の影響を受けることが判明した場合には、以下の対策を実施するよう呼びかけている。

・開発元から公開されているセキュリティパッチの適用を実施する。
・AJPが不要な場合は、無効にする。
・AJPが必要な場合は、認可設定などアクセス制限をする。また、必要なIPアドレスのみにアクセスを許可する、VPNを用いて接続することも検討する。

それ以外に、宛先ポート9530/TCPに対するMiraiボットの特徴を有するアクセスの増加についても報告している。
 

関連リンク

@policeレポート(PDF)