Adobe ColdFusion の脆弱性を悪用し webshell が設置される被害

　独立行政法人情報処理推進機構（IPA）は4月18日、Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃について発表した。影響を受けるシステムは以下の通り。

ColdFusion 2018 アップデート 16 およびそれ以前のバージョン
ColdFusion 2021 アップデート 6 およびそれ以前のバージョン
ColdFusion 2023 GA リリース (2023.0.0.330468)

　IPA では、アドビ社が提供する Adobe ColdFusion の脆弱性（CVE-2023-29300）を悪用し、当該製品が稼働する装置に webshell が設置される被害を国内の複数組織で確認している。

　同脆弱性は、リモートからのコード実行が可能となるもので、CISA の KEV カタログ（Known Exploited Vulnerabilities Catalog）にも悪用された脆弱性として掲載されており、台湾 TeamT5 社が2024年3月18日に公開した脅威情報によると、日本国内で少なくとも66台の装置が当該脆弱性によるセキュリティ侵害を受けている。

　ネットワーク貫通型攻撃では、設置された webshell を通じて組織内ネットワークへの侵入が試みられることや他組織への踏み台としての機能が仕組まれることがあり、意図せずに他組織への攻撃活動に加担し、一種の ORB（Operational Relay Box）となるおそれがある。ORB 化を伴う攻撃事例には、C2 サーバとの通信の中継や攻撃元の隠蔽を目的として利用するケースを確認している。

　IPAでは、ネットワーク貫通型攻撃の対策として下記を挙げている。

・日々の確認
各種ログ監視による不審なアクセス等がないかの確認
製品ベンダやセキュリティベンダ等より発信される情報の収集
自組織で利用するネットワーク機器の外部公開状態の確認

・平時の備え
製品ベンダから発信された情報を基に対応するための体制整備
ゼロデイの脆弱性情報または、攻撃を確認した際の対応手順整備
整備した体制、対応手順が運用可能なものであるかの確認と随時の改善

　またIPAでは、Adobe ColdFusion の脆弱性を解消するために、アドビ社が提供する情報をもとに、脆弱性が解消された下記バージョンへのアップデートを呼びかけている。

ColdFusion 2018 アップデート 17
ColdFusion 2021 アップデート 7
ColdFusion 2023 アップデート 1