このページの本文へ

チェック・ポイント・リサーチ、Apache Commons Textの脆弱性「Text4Shell」に関して技術的解析を公開

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2022年12月08日

  • この記事をはてなブックマークに追加
  • シェア
  • 一覧
  • 本文印刷

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、Apache Commons Textの脆弱性Text4Shell(CVE-2022-42889)に関して技術的解析を公開しました。

「CVE-2022-42889」はApache Commons Textのバージョン1.5から1.9に影響を及ぼす最新の脆弱性です。現在、Commons Text 1.10でパッチが適用されています。Apacheが以下のURLで推奨するように、サーバーにパッチを適用することをおすすめします。< https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om >


Apache Commons Textとは
Apache Commonsは、再利用可能なJavaコンポーネントのあらゆる側面に焦点を当てたApacheのプロジェクトです。その中のコンポーネントであるApache Commons Textは、Stringsを扱うアルゴリズムに特化したライブラリになっています。以下のURLのリストに掲載されている2,500のプロジェクトを見れば分かるように、非常に幅広い用途で使われています。:Maven Repository: org.apache.commons » commons-text (Usages):https://mvnrepository.com/artifact/org.apache.commons/commons-text/usages?sort=popular

重大な脆弱性「CVE-2022-42889 (CVSS 9.8/10)」
2022年10月13日、Apache Commonsにおける新しい重大なゼロデイ脆弱性、「CVE-2022-42889」が公開されました。これは2021年の年末に起こった「Log4Shell」攻撃についての記憶をあらたにするものでした。(CVEの詳細はこちら: NVD - CVE-2022-42889 < https://nvd.nist.gov/vuln/detail/CVE-2022-42889 > )
この脆弱性のCVSS 3.1ベーススコアは9.8、深刻度は“CRITICAL”と評価されており、ベクターは“AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H”です。これは端的に言えば、ネットワーク経由での攻撃(リモートエクスプロイト)が可能であり、ターゲットの悪用が容易で、特定の権限を必要とせず、ユーザーの介在も不要であり、機密性、完全性、可用性が失われるリスクが高いことなどを意味します。

実際の脆弱性は、Commons Textの変数補完を行う機能の中にあります。この機能では「${prefix:name}」という式を用いてプロパティを評価したり、動的に展開したりすることができ、ここでの「prefix」は補完を行うorg.apache.commons.text.lookup.StringLookupのインスタンスを検索して場所を特定するために使用するものです。アプリケーションに含まれるデフォルトのインターポレータを使用すると、リモートでコードを実行される可能性があります。

脆弱性があるバージョンのCommons Textを含み、デフォルトのインターポレータを使用するアプリケーションは、信頼できない設定値が使用された場合、リモートでのコード実行と、リモートサーバーとの不要な通信との両方に対して脆弱になります(バージョン1.10.0では、安全でないインターポレータは無効化されています)。

open-appsecを使用して、「Text4Shell」を先制的に防止する
open-appsec / CloudGuard AppSecの文脈的な機械学習エンジンは、従来のWAFソリューションが採用している古典的なシグネチャベースのアプローチではなく、シグネチャに一切依存しない最新の機械学習ベースのアプローチを採用することで、「Text4Shell」攻撃に対して(「Log4Shell」や「Spring4Shell」に対しても)先制的な防御を提供します。このエンジンはWebアプリケーションとAPIに、既知および未知の攻撃に対する最新鋭の効果的な防御を提供するものであり、K8s Ingressコントローラーをベースとした防御から仮想マシンベースのリバースプロキシ(NGINXへの統合など)まで、ほとんどの一般的なシナリオで展開することが可能です。

open-appsec / CloudGuard AppSecは、コンテキスト分析を使用して、ユーザーが通常どのようにWebアプリケーションを操作しているかを学習します。そして、この情報をもとに、通常の操作から外れたリクエストを自動的に検出し、これらのリクエストをさらに分析し、リクエストが悪意のあるものかどうかを決定します。

open-appsec / CloudGuard AppSecのContextual Machine Learning Engine < https://docs.openappsec.io/concepts/contextual-machine-learning > は、2つの異なる機械学習モデルで構成されています。


オフラインで学習させた教師あり学習モデル。悪意あるもの、害のないもの両方を含む数百万のリクエストが入力されています。
保護された環境下でリアルタイムに構築されている教師なし学習モデル。このモデルは、環境特有のトラフィックパターンを使用しています。


以下にあるのは、「Text4Shell」エクスプロイトを実際に防止した例(前述したように、“script”を検索するプリフィックスを用いた例)に基づいて作成された、open-appsec / CloudGuard AppSecのログのスクリーンショットで、“一致したサンプル”として表示されたものです(open-appsecはあらゆるコマンドをブロックするものであり、ブロックするコマンドは例に示されたものに限りません)。

このHTTPリクエストは、検出されたインジケータに基づいて、「リモートコード実行」やその他の考えられるインシデントのタイプに自動的に分類されます。


結論
サイバー攻撃に対して先制的に防御することは非常に重要です。なぜなら、脆弱性は公表される前から悪意ある主体に知られている可能性があり、なおかつ「脆弱性の窓」という言葉もあるように、当然ながらパッチを適用することは誰にとっても時間がかかるからです。
刻々と変化している脅威の状況に対応するためには、新しい発想による新たなツールをセキュリティ戦略に取り入れることが不可欠になっています。open-appsec < https://www.openappsec.io/ > / CloudGuard AppSecは、WebサイトやAPIへのHTTPリクエストを継続的に分析し学習する機械学習エンジンを搭載した、完全自動のWebアプリケーションおよびAPIのセキュリティソリューションです。

一般的なゼロデイ攻撃の防止策について、そしてopen-appsecがどのように防止を実現しているかについて、詳しい情報はこちらのブログ「Zero day attack prevention < https://www.openappsec.io/post/zero-day-attack-prevention > 」をご覧ください。

本プレスリリースは、米国時間2022年10月20日に米国本社で発表されたブログ< https://blog.checkpoint.com/2022/10/20/ask-your-waf-vendor-do-you-block-text4shell-cve-2022-42889-zero-day-attack/ >(英語)を元に作成されました。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

カテゴリートップへ

Amazon売れ筋ランキング「ノートパソコン」(在庫あり)
1
【整備済み品】富士通 ノートパソコン LIFEBOOK U9310 13.3型FHD(1920x1080) 超軽薄 ノートPC/第10世代 Core i5-10310U@1.7GHz/ 8GB メモリ/高速ストレージ SSD/Webカメラ/WIFI/Type-C/HDMI/win11&MS Office 2019 搭載 ビジネス 在宅勤務向け パソコン (メモリ:8GB/SSD:256GB)
【整備済み品】富士通 ノートパソコン LIFEBOOK U9310 13.3型FHD(1920x1080) 超軽薄 ノートPC/第10世代 Core i5-10310U@1.7GHz/ 8GB メモリ/高速ストレージ SSD/Webカメラ/WIFI/Type-C/HDMI/win11&MS Office 2019 搭載 ビジネス 在宅勤務向け パソコン (メモリ:8GB/SSD:256GB)
¥39,800
2
【整備済み品】中古 ノートパソコン NEC VersaPro VKT16/15.6型・第8世代Core i5-8250U(最大動作3.4GHz)/快適メモリ8GB/ 高速SSD 256GB/Win11 Pro/MS Office 2019付属/テンキー付, Webカメラ, USB3.0, HDMI, VGA, 有線LAN, WIFI内蔵, Bluetooth/ACアダプター付属/180日間保証
【整備済み品】中古 ノートパソコン NEC VersaPro VKT16/15.6型・第8世代Core i5-8250U(最大動作3.4GHz)/快適メモリ8GB/ 高速SSD 256GB/Win11 Pro/MS Office 2019付属/テンキー付, Webカメラ, USB3.0, HDMI, VGA, 有線LAN, WIFI内蔵, Bluetooth/ACアダプター付属/180日間保証
¥26,880
3
【整備済み品】富士 通 2in1ノートパソコン V727【本体のみ】/第7世代Core M3/12.3型タッチパネル1920×1080/メモリ 8GB/SSD 128GB/Win 11/MS Office 2019/USB 3.1/Type-C/無線WIFI/オーディオ内蔵/WEBカメラ/初期設定済
【整備済み品】富士 通 2in1ノートパソコン V727【本体のみ】/第7世代Core M3/12.3型タッチパネル1920×1080/メモリ 8GB/SSD 128GB/Win 11/MS Office 2019/USB 3.1/Type-C/無線WIFI/オーディオ内蔵/WEBカメラ/初期設定済
¥9,600
4
Lenovo Chromebook クロームブック IdeaPad Flex 3i Gen8 12.2インチ インテル® プロセッサー N100搭載 メモリ4GB eMMC 64GB バッテリー駆動12.0時間 重量1.25kg アビスブルー 82XH001KJP
Lenovo Chromebook クロームブック IdeaPad Flex 3i Gen8 12.2インチ インテル® プロセッサー N100搭載 メモリ4GB eMMC 64GB バッテリー駆動12.0時間 重量1.25kg アビスブルー 82XH001KJP
¥29,800
5
【Amazon.co.jp限定】 ASUS ノートパソコン Vivobook 15 X1502VA 15.6インチ インテル Core i7 13620H メモリ16GB SSD 1TB Windows 11 バッテリー駆動 8.9時間 重量1.7kg PC Game Pass 3ヶ月利用権付き クワイエットブルー X1502VA-I7H161W
【Amazon.co.jp限定】 ASUS ノートパソコン Vivobook 15 X1502VA 15.6インチ インテル Core i7 13620H メモリ16GB SSD 1TB Windows 11 バッテリー駆動 8.9時間 重量1.7kg PC Game Pass 3ヶ月利用権付き クワイエットブルー X1502VA-I7H161W
¥104,800

Amazonのアソシエイトとして、ASCII.jpは適格販売により収入を得ています。

ASCII倶楽部

ASCII倶楽部とは

注目ニュース

  • 角川アスキー総合研究所

プレミアム実機レビュー

ピックアップ
Amazon.co.jp売れ筋ランキング(パソコン・周辺機器)
1
KIOXIA(キオクシア) 旧東芝メモリ microSD 128GB UHS-I Class10 (最大読出速度100MB/s) Nintendo Switch動作確認済 国内サポート正規品 メーカー保証5年 KLMEA128G
KIOXIA(キオクシア) 旧東芝メモリ microSD 128GB UHS-I Class10 (最大読出速度100MB/s) Nintendo Switch動作確認済 国内サポート正規品 メーカー保証5年 KLMEA128G
¥1,880
2
Anker PowerLine III Flow USB-C & USB-C ケーブル Anker絡まないケーブル 240W 結束バンド付き USB PD対応 シリコン素材採用 iPhone 17 / 16 / 15 / Galaxy iPad Pro MacBook Pro/Air 各種対応 (1.8m ミッドナイトブラック)
Anker PowerLine III Flow USB-C & USB-C ケーブル Anker絡まないケーブル 240W 結束バンド付き USB PD対応 シリコン素材採用 iPhone 17 / 16 / 15 / Galaxy iPad Pro MacBook Pro/Air 各種対応 (1.8m ミッドナイトブラック)
¥1,390
3
【Amazon.co.jp限定】バッファロー microSD 32GB 100MB/s UHS-1 U1 microSDHC【 Nintendo Switch 対応 】V10 A1 IPX7 Full HD RMSD-032U11HA/N
【Amazon.co.jp限定】バッファロー microSD 32GB 100MB/s UHS-1 U1 microSDHC【 Nintendo Switch 対応 】V10 A1 IPX7 Full HD RMSD-032U11HA/N
¥1,880
4
Anker USB Type C ケーブル PowerLine USB-C & USB-A 3.0 ケーブル iPhone 17 / 16 / 15 /Xperia/Galaxy/LG/iPad Pro/MacBook その他 Android 等 USB-C機器対応 テレワーク リモート 在宅勤務 0.9m ホワイト
Anker USB Type C ケーブル PowerLine USB-C & USB-A 3.0 ケーブル iPhone 17 / 16 / 15 /Xperia/Galaxy/LG/iPad Pro/MacBook その他 Android 等 USB-C機器対応 テレワーク リモート 在宅勤務 0.9m ホワイト
¥660
5
KIOXIA(キオクシア)【日本製】USBフラッシュメモリ 32GB USB2.0 国内サポート正規品 KLU202A032GL
KIOXIA(キオクシア)【日本製】USBフラッシュメモリ 32GB USB2.0 国内サポート正規品 KLU202A032GL
¥980
6
【Amazon.co.jp限定】 ロジクール 静音 ワイヤレス トラックボール マウス M575SPd Bluetooth Logibolt 無線 windows mac iPad OS Chrome トラックボールマウス ブラック M575 M575SP 国内正規品 ※Amazon.co.jp限定 壁紙ダウンロード付き
【Amazon.co.jp限定】 ロジクール 静音 ワイヤレス トラックボール マウス M575SPd Bluetooth Logibolt 無線 windows mac iPad OS Chrome トラックボールマウス ブラック M575 M575SP 国内正規品 ※Amazon.co.jp限定 壁紙ダウンロード付き
¥5,280
7
バッファロー SDカード 128GB 100MB/s UHS-1 スピードクラス1 VideoSpeedClass10 IPX7 Full HD データ復旧サービス対応 RSDC-128U11HA/N
バッファロー SDカード 128GB 100MB/s UHS-1 スピードクラス1 VideoSpeedClass10 IPX7 Full HD データ復旧サービス対応 RSDC-128U11HA/N
¥2,000
8
キヤノン Canon 純正 インクカートリッジ BCI-381(BK/C/M/Y)+380 5色マルチパック BCI-381+380/5MP 長さ:5.3cm 幅:13.9cm 高さ:10.75cm
キヤノン Canon 純正 インクカートリッジ BCI-381(BK/C/M/Y)+380 5色マルチパック BCI-381+380/5MP 長さ:5.3cm 幅:13.9cm 高さ:10.75cm
¥5,545
9
Amazonベーシック USB-A -ライトニングケーブル ナイロン iPhone充電 Apple MFi認証 iPhone 14/14 Pro/13/13 Pro/12/SE(第2世代)/iPad 各種対応(シルバー 0.9m)
Amazonベーシック USB-A -ライトニングケーブル ナイロン iPhone充電 Apple MFi認証 iPhone 14/14 Pro/13/13 Pro/12/SE(第2世代)/iPad 各種対応(シルバー 0.9m)
¥980
10
エルパ(ELPA) 扉付タップラン 電源タップ 延長コード 125V 3m 3個口 ホワイト WBT-N3030B(W)
エルパ(ELPA) 扉付タップラン 電源タップ 延長コード 125V 3m 3個口 ホワイト WBT-N3030B(W)
¥652

Amazonのアソシエイトとして、ASCII.jpは適格販売により収入を得ています。

デジタル用語辞典

ASCII.jpメール デジタルMac/iPodマガジン