独立行政法人情報処理推進機構(IPA)は7月5日、PHPの脆弱性(CVE-2024-4577)を狙う攻撃についての注意喚起を発表した。影響を受けるシステムは下記の通り。
PHP 8.1.29より前の8.1系
PHP 8.2.20より前の8.2系
PHP 8.3.8より前の8.3系
IPAでは、The PHP Group が提供する PHP の脆弱性(CVE-2024-4577)を悪用し、当該製品が稼働するWebサービスにwebshellが設置された被害を国内の複数組織で確認している。同脆弱性は、リモートからのコード実行が可能となるもので、CISAの KEVカタログ(Known Exploited Vulnerabilities Catalog)にも悪用された脆弱性として掲載されている。
IPAでは、The PHP Groupが提供する情報をもとに脆弱性が解消された下記バージョンへのアップデートを推奨している。
PHP 8.1.29以降
PHP 8.2.20以降
PHP 8.3.8以降
IPAがこれまで注意を呼びかけてきたネットワーク貫通型攻撃では、設置されたwebshellを通じて組織内ネットワークへの侵入が試みられることや他組織への踏み台としての機能が仕組まれることがあり、踏み台となった場合は、意図せずに他組織への攻撃活動に加担してしまうことに繋がるため、一種のORB(Operational Relay Box)となるおそれがある。
ネットワーク貫通型攻撃では、組織内ネットワークとインターネットとの境界に設置されるセキュリティ製品やVPN機器、サーバなどの脆弱性が狙われるため、下記の日々の確認や平時の備えが重要となる。
・日々の確認
各種ログ監視による不審なアクセス等がないかの確認
製品ベンダやセキュリティベンダ等より発信される情報の収集
自組織で利用するネットワーク機器の外部公開状態の確認
・平時の備え
製品ベンダから発信された情報を基に対応するための体制整備
ゼロデイの脆弱性情報または、攻撃を確認した際の対応手順整備
整備した体制、対応手順が運用可能なものであるかの確認と随時の改善
