ペンタセキュリティシステムズ(ペンタセキュリティ)が毎月発行している「EDB-Report」は、脆弱性のオープンデータベースである「Exploit-DB」に収集されたWebアプリケーションの脆弱性情報から、同社のR&Dセンターが分析・作成している月例レポートだ。

最新の情報として発表されている2016年5月号のレポートによると、確認された攻撃件数は全部で29件。その内訳としては、クロスサイトスクリプティング(Cross Site Scripting:XSS)の9件が最多。SQL インジェクション(SQL Injection)が7件、コマンド インジェクション(Command Injection)が5件、ファイルアップロード(File Upload)が3件、ディレクトリトラバーサル(Directory Traversal)、ローカルファイル挿入(Local File Inclusion:LFI)が各2件、インフォメーションディスクロージャー(Information Disclosure) が1件であった。

危険度別の件数は、最も危険度が高く、攻撃を受けた場合にシステム内に侵入される恐れがある「早急対応要」が2件、2番目に危険度が高く、システム情報を取得されるか、クライアントに2次被害を及ぼす恐れのある「高」が22件、危険度が最も低い「中」が5件であった。

攻撃実行の難易度別の件数は、高度な攻撃コードを利用する「難」が1件、攻撃自体は難しくないが迂回コードを利用する「中」が6件、1回のリクエストなどで攻撃が実行できる「易」が22件であった。

攻撃対象となったWebアプリケーションごとの件数は、IPFireが4件、XenAPI、AirOS、Real Estate Portal、Web2py、ProcessMakerが各2件、AfterLogic WebMail、Acunetix WP Security、EduSec、DNSmasq、ZeewaysCMS - Multiple Vulnerabilities、Open Source Real Estate Script、ZeewaysCMS、ManageEngine Password Manager、PHP Realestate Script Script、PHP Imagick、Magento、eXtplorer、FlatPress、CakePHP、SAP xMIIが各1件であった。

同レポートで報告件数が最も多かったクロスサイトスクリプティング(Cross Site Scripting)は、一般的にパラメーター値を利用して攻撃する方法だが、5月に発見されたものは、キーの値もしくは特定のHTTP HeaderのValueを狙うものであったという。このような攻撃は特定のプログラム上でのみ発生する脆弱性のため、同社は、当該プログラムを使用する管理者は脆弱性にさらされたページを確認し、ソースコード上のセキュアコーディングを至急行うよう提言している。

また本レポートでは、5月にコマンド インジェクション(CommandInjection)と関連した多彩な攻撃パターンが発見されたことにも着目している。コマンド インジェクション攻撃は、脆弱な命令語または関数をパラメーターとして利用し、該当動作をすぐに実行させることができるため、特別な場合を除いては、関連する命令語や関数を使用しないよう勧めている。また、該当命令語と関数を必ず使用しなければならない場合には、パイプ(|)、セミコロン(;)などのマルチラインを支援する特殊文字に対する検証を行うよう呼び掛けている。

(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)

[PR]提供: