週間ウェブ攻撃動向

週ごとのウェブ攻撃の傾向により、ウェブ攻撃が最も流行する時期を確認することができます。これにより、ピーク時のウェブ攻撃を防止し、対応するための事前計画を立てることができます。

以下のグラフは、2024年9月時点でAIWAFが検知したウェブ攻撃を示しています。

 

 

 

 

 

 

 

 

 

2024年9月は、1日平均23万件以上の攻撃を検知しました。

24日間で最も攻撃を試行した脆弱性であるSQLインジェクションは、当社のAIWAFで最も検知条件が多い脆弱性です。しかし、SQLインジェクション攻撃は、多くの新しい攻撃タイプや回避方法があるため、常に監視されています。

 

---

 

攻撃タイプ別ウェブ攻撃の傾向

検出ログに基づく攻撃タイプ別のウェブ攻撃の傾向により、その月に最も多く発生した攻撃を確認できます。これに基づいて、基本的なウェブ攻撃対応ガイドラインを策定し、これらのタイプの攻撃を防止し、対応することができます。

以下のグラフは、2024年9月時点でAIWAFが検知したWeb攻撃を示しています。

 

ルール別ウェブ攻撃動向

 

 

 

 

 

 

 

 

 

 

 

SQLインジェクション(37.68%)が最も一般的な攻撃タイプで、次いでApp weak(20.2%)、Default page(16.67%)、Directory Traversal(9.68%)となっている。

SQLインジェクションは、OWASPによって1位にランク付けされているように、最も多様で危険な攻撃です。これは、ユーザの要求に基づいて動的にデータを生成する SQL 文に悪意のある SQL 文を押し込む攻撃で、脆弱なアプリケーションを認証させたり、異常な SQL 結果を返させたりします。クエリ値に以下のような構文があったら、攻撃を疑ってください。

APP WEAK は、攻撃者が不正アクセスや悪意のあるアクションを実行するために悪用できるアプリ内の脆弱性を示します。このような脆弱性は、不適切なコーディングプラクティス、設定ミス、不十分なセキュリティ対策の結果である可能性があります。一般的な経験則として、アプリプログラムの使用時には、許可されたファイルに加えて、許可されていないファイルも疑ってください。

 

---

 

過去3ヶ月のウェブ攻撃傾向グラフのまとめ

 

6月

 

 

 

 

 

 

 

 

 

 

 

7月

 

 

 

 

 

 

 

 

 

 

 

8月

 

 

 

 

 

 

 

 

 

 

 

---

 

攻撃者IPトップ30

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

---

 

脆弱性分析レポート

[Jenkins Arbitrary ファイル読み込み]

 

1. 概要

Jenkinsは、ソフトウェアのビルド、テスト、デプロイなどのタスクを自動化するために使用されるツールですが、このツールのファイル読み取りの脆弱性であるCVE-2024-43044について分析されました。

 

 

 

 

 

 

 

 

 

 

2. 攻撃タイプ

Jenkinsのアーキテクチャは、Jenkinsエージェントと、それらのエージェントの管理、ジョブスケジューリング、監視を調整するコントローラで構成される。Jenkinsエージェントとコントローラ間の通信にはRemotingライブラリを使用し、独自のプロトコルまたはSSHを介して通信を行う。

 

 

 

 

 

 

 

 

ソース : https://blog.convisoappsec.com/en/analysis-of-cve-2024-43044/

 

この脆弱性は、AgentがControllerのファイルシステムから必要なファイルを要求する際、Controller内の関数に含まれる一部のコードが要求のパスを制限しないため、AgentがController内の任意のファイルにアクセスし、読み取ることを可能にします。

そのため、攻撃者は、agent.jar ファイルを取得するか、 remoting.jar ファイル経由で認証情報を漏洩させることで、 Agent にアクセスし、エージェント名と秘密情報を取得し、 通信ライブラリである Remoting ライブラリを使用して Controller に接続し、 脆弱なインスタンスである hudson.remoting.RemoteClassLoader を呼び出して、 任意のファイルにアクセスすることが可能です。

この脆弱性を利用して、特定のユーザーに関する情報を盗み出し、その情報に基づいてRemomber-Meクッキーを作成し、Jenkinsスクリプト・エンジンにアクセスして悪意のあるコマンドを実行することができます。

 

3. 何をすべきか

この脆弱性はJenkins 2.471、LTS 2.452.4、2.462.1でパッチが適用されており、Jenkinsは残念ながら修正を適用できなかったJenkinsコントローラ向けに修正されたエージェントファイルも提供している。

この脆弱性はSSH通信環境におけるもので、プロプライエタリなプロトコルであり、AIWAFのパターン化された領域ではないようだ。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ソース: https://github.com/jenkinsci/remoting/blob/master/docs/protocols.md

 

4. 結論

Jenkinsのファイル読み取りの脆弱性は、Agentに何らかの方法でアクセスできる人であれば誰でも簡単に悪用可能であり、2024年9月24日時点で516,000台以上のJenkinsサーバーが暴露されていることから、この脆弱性の影響は大きいため、Jenkinsには常に最新バージョンのパッチを適用しておく必要があります。

 

 

 

 

 

 

 

 

 

 

 

 

 

ZoomEyeで 「Jenkins 」を検索した結果は以下の通り。

 

当社のAIWAF製品は、引き続きJenkinsの脆弱性を監視しており、関連する脆弱性が発見された場合には迅速に対応していく。

 

5. 参考文献

• https://blog.convisoappsec.com/en/analysis-of-cve-2024-43044/
• https://blog.criminalip.io/ko/2024/08/22/cve-2024-43044/

 

---

 

最新の脆弱性CVEステータス

 

1. ハイリスク脆弱性ステータス（2024.09）

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. ハイリスク脆弱性の説明