前四半期に引き続き、2021年4月~6月もSSL-VPN製品の脆弱性の悪用に関する報告が寄せられ、オープンソースのCMSであるEC-CUBEの脆弱性を悪用した攻撃が観測されています。
2021年4月以降に確認された影響範囲の広い脆弱性情報や脅威情報などをまとめました。以下を参考に対策をご検討ください。
I. Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起
[1]概要
2021年4月20日(米国時間)、Pulse SecureはPulse Connect Secureの脆弱性(CVE-2021-22893)に関するアドバイザリを公開しました。脆弱性が悪用された場合、第三者が認証を回避し、遠隔から任意のコードを実行するなどの可能性があります。同日、FireEyeがブログを公開し、本脆弱性や既知のPulse Connect Secureの脆弱性を悪用した攻撃を確認していると明らかにしています。
SSL-VPN製品の脆弱性を狙った攻撃は近年増加しており、ランサムウェア感染のきっかけとなっているケースも見られます。また、海外拠点のSSL-VPN製品が狙われるケースもあるため注意が必要です。
JPCERT/CC
Pulse Connect Secureの脆弱性(CVE-2021-22893)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210019.html
Pulse Secure
SA44784 - 2021-04: Out-of-Cycle Advisory: Multiple Vulnerabilities Resolved in Pulse Connect Secure 9.1R11.4
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
FireEye
Check Your Pulse: Suspected APT Actors Leverage Authentication Bypass Techniques and Pulse Secure Zero-Day
https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html
[2]対策
下記の対策をご検討ください。
- 脆弱性の影響を受けるか、製品およびバージョンといった利用状況を確認する
- 脆弱性の影響を受ける場合、開発者が提供している情報をもとに対策を実施する
- 対策済みである場合も、対策実施前にパスワードを窃取された可能性を考慮し、該当機器のパスワードを変更する
- 外部からシステムにアクセス可能なIPアドレス、ポートを必要最小限に制限する
- 今後、新たな脆弱性を発見した際にアップデートや回避策の適用を早期に実施するため、対応手順や体制などを整備する
II. EC-CUBEおよび関連プラグインのクロスサイトスクリプティングの脆弱性に関する注意喚起
[1]概要
2021年5月7日、株式会社イーシーキューブは、EC-CUBEのクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する注意喚起を公開しました。また、2021年6月15日には同社およびETUNAより複数のEC-CUBE 3.0系用プラグインの脆弱性に関する注意喚起も公開されています。 脆弱性が悪用された場合、ECサイトの管理者のブラウザー上で任意のスクリプトが実行され、ECサイトへの不正アクセスや個人情報の窃取などが行われる可能性があります。株式会社イーシーキューブによると、本脆弱性を悪用した攻撃を確認しているとのことで、同社では攻撃の被害有無を確認するための確認方法を公開しています。 なお、JPCERT/CCにおいても、本脆弱性を悪用した攻撃に関する報告が寄せられています。
JPCERT/CC
EC-CUBEのクロスサイトスクリプティングの脆弱性(CVE-2021-20717)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210022.html
JPCERT/CC
複数のEC-CUBE 3.0系用プラグインにおけるクロスサイトスクリプティングの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210028.html
JPCERT/CC Eyes
ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃
https://blogs.jpcert.or.jp/ja/2021/07/water_pamola.html
JPCERT/CC
EC-CUBEを使用したWebサイトに対する攻撃の報告について
https://twitter.com/jpcert_ac/status/1399604992059744256
株式会社イーシーキューブ
EC-CUBE 4.0系: クロスサイトスクリプティング脆弱性 (JVN#97554111) について
https://www.ec-cube.net/info/weakness/20210507/
[2]対策
下記の対策をご検討ください。
- 脆弱性の影響を受けるか、製品およびバージョンといった利用状況を確認する
- 脆弱性の影響を受ける場合、開発者が提供している情報をもとに対策を実施する
- 開発者が提供している情報をもとに、脆弱性を悪用する攻撃の有無を調査する
- 今後、新たな脆弱性を発見した際にアップデートや回避策の適用を早期に実施するため、対応手順や体制などを整備する
[3]事例
トレンドマイクロより、日本、オーストラリア、ヨーロッパのオンラインショップサイトへの攻撃キャンペーン「Water Pamola」の情報が公開されています。本攻撃キャンペーンでは、注文者の住所や会社名を入力するフォームにクロスサイトスクリプティングの実行に至るスクリプトが挿入され、認証情報の窃取やマルウェアの感染、Webシェルへの感染などが確認されたとのことです。
トレンドマイクロ
「不正注文」で国内オンラインショップサイトを侵害する攻撃キャンペーン「Water Pamola」
https://blog.trendmicro.co.jp/archives/27875
III. JPCERT/CCからのお願い
JPCERT/CCでは、改ざんされたWebサイトや不正なプログラムの配布サイトなどに対して、関係機関を通じて調整活動を行っています。 もし、これらに関する情報をお持ちの場合は、以下のWebフォーム、または電子メールで、JPCERT/CCまでご連絡ください。
JPCERT/CCインシデント報告(発見報告・被害報告・被害対応依頼) | |
---|---|
info@jpcert.or.jp | |
Webフォーム | https://www.jpcert.or.jp/form/#web_form |
※インシデント報告、対応依頼の詳細はhttps://www.jpcert.or.jp/form/をご覧ください。
IV. 修正プログラム情報
最近公開された重要な修正プログラムは以下をご参照ください。
[マイクロソフト]
2021 年 6 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Jun
Microsoft Update カタログ
https://www.catalog.update.microsoft.com/
Windows Update:よくあるご質問
https://support.microsoft.com/ja-JP/help/12373/windows-update-faq
[アドビ]
Adobe Connect に関するセキュリティアップデート | APSB21-36
https://helpx.adobe.com/jp/security/products/connect/apsb21-36.html
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB21-37
https://helpx.adobe.com/jp/security/products/acrobat/apsb21-37.html
Adobe Photoshop に関するセキュリティアップデート公開 | APSB21-38
https://helpx.adobe.com/jp/security/products/photoshop/apsb21-38.html
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB21-39
https://helpx.adobe.com/jp/security/products/experience-manager/apsb21-39.html
Adobe Creative Cloud デスクトップアプリケーションに関するセキュリティアップデート公開 | APSB21-41
https://helpx.adobe.com/jp/security/products/creative-cloud/apsb21-41.html
Security updates available for Adobe RoboHelp Server | APSB21-44
https://helpx.adobe.com/jp/security/products/robohelp-server/apsb21-44.html
Adobe Photoshop Elements に関するセキュリティアップデート公開 | APSB21-46
https://helpx.adobe.com/jp/security/products/photoshop_elements/apsb21-46.html
Adobe Premiere Elements に関するセキュリティアップデート公開 | APSB21-47
https://helpx.adobe.com/jp/security/products/premiere_elements/apsb21-47.html
Adobe After Effects に関するセキュリティアップデート公開 | APSB21-49
https://helpx.adobe.com/jp/security/products/after_effects/apsb21-49.html
Adobe Animate に関するセキュリティアップデート公開 | APSB50-21
https://helpx.adobe.com/jp/security/products/animate/apsb21-50.html
V.参考情報
[JPCERT/CC]
インシデント報告対応レポート
https://www.jpcert.or.jp/ir/report.html
STOP! パスワード使い回し!
https://www.jpcert.or.jp/pr/stop-password.html
適切なパスワードの設定・管理方法について
https://www.jpcert.or.jp/newsflash/2018040401.html
ログを活用したActive Directoryに対する攻撃の検知と対策
https://www.jpcert.or.jp/research/AD.html
[IPA]
サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報
https://www.ipa.go.jp/security/announce/sw_security_info.html
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp