[2024年12月]ウェブ攻撃動向レポート | Cloud-Based Platform AIONCLOUD

Threat Intelligence Report

Get up-to-date information on web application vulnerabilities, attacks, and how to respond.

Back to Threat Intelligence Report

[2024年12月]ウェブ攻撃動向レポート

 

 

 

 

 

 

 

 

 

週間ウェブ攻撃動向

週ごとのウェブ攻撃の傾向により、ウェブ攻撃が最も流行する時期を確認することができます。これにより、ピーク時のウェブ攻撃を防止し、対応するための事前計画を立てることができます。

以下のグラフは、2024年12月時点でAIWAFが検知したウェブ攻撃を示しています。

 

 

 

 

 

 

 

 

 

 

 

 

2024年12月は1日平均24万件以上の攻撃を検知しており、28日と30日が最も多い。

28日に最も攻撃を試行した脆弱性であるSQLインジェクションは、当社のAIWAFで最も検知条件が多い脆弱性です。しかし、SQLインジェクション攻撃は、新しい攻撃タイプや回避策が多く存在するため、常に監視が必要です。

 

 

攻撃タイプ別ウェブ攻撃の傾向

検出ログに基づく攻撃タイプ別のウェブ攻撃の傾向により、その月に最も多く発生した攻撃を確認できます。これに基づいて、基本的なウェブ攻撃対応ガイドラインを策定し、これらのタイプの攻撃を防止し、対応することができます。

以下のグラフは、2024年12月時点でAIWAFが検知したWeb攻撃を示しています。

ルール別ウェブ攻撃動向

 

 

 

 

 

 

 

 

 

 

 

 

SQLインジェクション(53.58%)が最も一般的な攻撃タイプで、次いでApp weak(13.27%)、Default page(12.45%)、Directory Traversal(8.27%)となっている。

SQLインジェクションは、OWASPによって1位にランク付けされているように、最も多様で危険な攻撃です。これは、ユーザの要求に基づいて動的にデータを生成する SQL 文に悪意のある SQL 文を押し込む攻撃で、脆弱なアプリケーションを認証させ たり、異常な SQL 結果を返させたりします。クエリ値に以下のような構文があったら、攻撃を疑ってください。

APP WEAK は、攻撃者が不正アクセスや悪意のあるアクションを実行するために悪用できるアプリ内の脆弱性を示します。このような脆弱性は、不適切なコーディングプラクティス、設定ミス、不十分なセキュリティ対策の結果である可能性があります。一般的な経験則として、アプリプログラムの使用時には、許可されたファイルに加えて、許可されていないファイルも疑ってください。

 

 

過去3ヶ月のウェブ攻撃傾向グラフのまとめ

 

9月

 

 

 

 

 

 

 

 

 

 

 

 

10月

 

 

 

 

 

 

 

 

 

 

 

 

11月

 

 

 

 

 

 

 

 

 

 

 

 

 

攻撃者IPトップ30

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

脆弱性分析レポート

Cleo Harmony、VLTrader、および LexiCom ファイル読み書きの脆弱性

 

1. 概要

Cleoは、Managed File Transfer Solutionsと呼ばれるソフトウェアを提供するソフトウェア企業で、Harmony、VLTrader、LexiComなどの機能を備えています。本レポートでは、クレオが同社のソフトウェアに存在するファイル読み取りおよび書き込みの脆弱性「CVE-2024-50623」および「CVE-2024-55956」についての分析をまとめています。

 

 

 

 

 

 

 

ソース : https://www.helpnetsecurity.com/2024/12/10/cve-2024-50623-cleo-file-transfer-software-vulnerabilities-exploited/

 

2. 攻撃タイプ

CVE-2024-50623は、Cleo Harmony、VLTrader、およびLexiComソフトウェアにおけるファイルの読み取りおよび書き込みの脆弱性であり、ファイルの同期を処理する/Synchronizationエンドポイントにおける脆弱な数値検証を利用して、細工したVLSyncヘッダを送信することで任意のファイルデータを取得するか、悪意のあるWebシェルを送信することで任意のファイルを書き込みます。

 

GETリクエストを使ってwin.iniファイルを読み込む :

 

 

 

 

 

 

POSTリクエストを利用してtest.txtファイルを生成する :

 

 

 

 

 

 

 

CVE-2024-55956 は、CVE-2024-50623 のパッチ適用バージョンで見つかったファイル書き込みの脆弱性で、VLSync.Multipart;l=0,Acknowledge ヘッダを持つリクエストを送信することで、悪意のある Webshell コンテンツが任意のファイルに書き込まれる可能性があります: Multipart;l=0,Acknowledge ヘッダを持つリクエストを送信することで、悪意のある Webshell コンテンツが任意のファイルに書き込まれる可能性があります。

しかし、この脆弱性はファイルへの書き込みのみを許すという点で、 CVE-2024-50623 とは異なります。

 

POSTリクエストを利用してtemp/hax.txtファイルを作成する :

 

 

 

 

 

 

 

 

3. 何をすべきか

CVE-2024-50623はHarmony、VLTrader、LexiCom 5.8.0.21パッチで、CVE-2024-55956はHarmony、VLTrader、LexiCom 5.8.0.24パッチで対応しています。

これらの脆弱性は、細工されたVLSyncヘッダを持つリクエストの送信に関連しているようであり、当社のAIWAF製品のパターンとしてさらに分析され、対応される予定です。

 

4. 結論

Cleo Harmony、VLTrader、および LexiCom は、マネージドファイル転送(MFT)ソリューションを提供するソフトウェアであり、多くの大企業で使用されています。CISA は、脆弱性がランサムウェア攻撃に積極的に活用されていると警告しており、これらのソフトウェアを使用している顧客および企業は、できるだけ早く最新バージョンにアップデートする必要があります。

当社のAIWAF製品は、クレオが提供するソフトウェアの脆弱性を引き続き監視しており、関連する脆弱性が発見された場合は引き続き迅速に対応します。

対応策としては、影響を受けるバージョンの最新のセキュリティパッチの適用、サーバーレベルでのアクセス制御の強化、ウェブアプリケーションファイアウォール(WAF)によるデータの遮断などがあります。

 

5. 参考文献

https://labs.watchtowr.com/cleo-cve-2024-50623/

https://attackerkb.com/topics/geR0H8dgrE/cve-2024-55956/rapid7-analysis

https://socradar.io/cleo-file-transfer-vulnerabilities-cl0ps-attack-vector/

 

 

最新の脆弱性CVEステータス

 

1. ハイリスク脆弱性ステータス(2024.12)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. ハイリスク脆弱性の説明

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright 2025 AIONCLOUD's All Right Reserved| Privacy Policy| Terms of Use| Cookie Settings
Scroll Up