Trusted Design

解説:

CVE-2012-0507について、以下の観点で解説します。

1. 脆弱性の概要

Oracle Java SEのJava Runtime Environment (JRE) コンポーネントに存在する、Concurrencyに関連する処理の不備に起因する脆弱性です。この脆弱性は、AtomicReferenceArrayクラスの実装が配列がObject[]タイプであることを適切にチェックしないために発生するとされています。攻撃者はこの脆弱性を悪用することで、Javaサンドボックスの制限を回避し、任意のコードを実行することが可能になります。

1.1 影響

• Javaサンドボックスの制限回避: 悪意のあるJavaアプリケーションやアプレットが、Javaサンドボックスの制限を迂回し、完全なセキュリティ権限でコードを実行する可能性があります。
• 任意のコード実行: リモートの攻撃者が、細工されたJavaアプリケーションをユーザーに開かせたり、細工されたJavaアプレットまたはJava Web Startアプリケーションを提供するWebサイトに誘導したりすることで、対象システム上で任意のコードを実行する可能性があります。これにより、情報漏洩、改ざん、ワームやスパイウェアなどの悪意のあるプログラムのインストールといった被害が想定されます。
• サービス運用妨害 (JVMクラッシュ): 攻撃によりJava Virtual Machine (JVM) がクラッシュし、サービス運用妨害 (DoS) 状態に陥る可能性もあります。
• 機密性、完全性、可用性への影響: NVDの記述では、不明なベクターを介して機密性、完全性、可用性に影響を与える可能性があります。

1.2 深刻度

• CVSS v2 基本値: 10.0 (危険)
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響: 全面的 (Complete)
  • 完全性への影響: 全面的 (Complete)
  • 可用性への影響: 全面的 (Complete) このスコアは、認証なしでネットワーク経由で簡単に攻撃が可能であり、機密性、完全性、可用性の全てに深刻な影響を及ぼすことを示しています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性はJava Runtime Environment (JRE) 自体の問題であるため、Javaが動作する多様なオペレーティングシステムに影響を及ぼします。具体的には、以下のJava SEバージョンが影響を受けます。

• Oracle Java SE 7 Update 2 およびそれ以前
• Oracle Java SE 6 Update 30 およびそれ以前
• Oracle Java SE 5.0 Update 33 およびそれ以前
• SDK and JRE 1.4.2_35 およびそれ以前
• JavaFX 2.0.2 およびそれ以前

影響を受ける可能性のあるOSとしては、Windows XP, Windows 7, Ubuntu, OSXなど、JavaをサポートするあらゆるOS (Windows, Linux, macOSなど) が挙げられます。

2.2 影響を受ける設定

特定の「設定」に起因する脆弱性ではなく、脆弱なバージョンのJavaがインストールされている環境であれば影響を受けます。

3. 影響を受けた時の兆候

直接的な「兆候」として特筆すべきものはありませんが、攻撃が成功した場合、以下のようなシステム侵害の兆候が見られる可能性があります。

• 身に覚えのないプログラムの実行や、設定の変更。
• 不審なネットワーク通信。
• システムのパフォーマンス低下や予期しないクラッシュ。
• マルウェア（Flashback Trojanなど）の感染。
• 偽のウイルス対策ソフトのダウンロード誘導。

4. 推奨対策

4.1 本対策

• Javaのアップデート: Oracle社からこの脆弱性を修正するバージョンがリリースされています。影響を受けるシステムは、直ちに修正済みのバージョンにアップデートすることを強く推奨します。
  • Java SE 7 は Update 3 以降
  • Java SE 6 は Update 31 以降
  • Oracle社はJava SE JDKおよびJRE 7は開発者向けのため、Java SE JDKおよびJRE 6 Update 31の使用を推奨していました。

4.2 暫定回避策（緩和策）

• ブラウザのJavaプラグインの無効化: 業務上Javaが必要なサイト以外では、一時的にブラウザのJavaプラグインを無効化することで、攻撃が成立する機会を減らすことができます。
• ウイルス対策ソフトの定義ファイルの最新化: ウイルス対策ソフトの定義ファイルを常に最新の状態に保つことで、既知のマルウェア感染を防ぐのに役立ちます。
• 不必要なWebサイトへのアクセスを避ける: 攻撃者は細工されたWebサイトを通じて脆弱性を悪用するため、不審なサイトへのアクセスを避けることが重要です。
• 不要な通信の遮断: クライアントに不要な通信を許可しないように設定することも緩和策の一つです。
• EDR (Endpoint Detection and Response) の導入: 不審な動作を検知し、マルウェアの活動を阻止することができます。

参照したサイト

• Oracle Java AtomicReferenceArray Sandbox Breach Code Execution (CVE-2012-0507) - CloudGuard Network
• cve-2012-0507 - NVD
• CVE-2012-0507 - CVE Record
• Oracle JRE Sandbox Restriction Bypass – Flashback Trojan (Apr 5, 2012) - SonicWall
• CVE-2012-0507 Detail - NVD
• Exploit:Java/CVE-2012-0507 threat description - Microsoft Security Intelligence
• Web Attack: JRE Concurrency CVE-2012-0507 - Broadcom Inc.
• CVE-2012-0507 - Ubuntu
• Oracle Java SE JDKおよびJREのConcurrencyサブコンポーネントにおける脆弱性（CVE-2012-0507）に関する検証レポート | 株式会社NTTデータ先端技術
• Javaの脆弱性を狙う攻撃に注意喚起、検証レポートも - ITmedia
• Java/CVE-2012-0507 threat description - Microsoft Security Intelligence
• Oracle Java SE Critical Patch Update Advisory - February 2012
• CVE-2012-0507 Detail - NVD
• CVE-2012-0507 - Java Strikes Again | Rapid7 Blog
• Text Form of Oracle Java SE Critical Patch Update - February 2012 Risk Matrices
• Exploit:Java/CVE-2012-0507.A threat description - Microsoft Security Intelligence
• Java Exploit Attack (CVE-2012-0507) - Penetration Testing Lab
• 標的型メール訓練サービス｜サイバープロテクター｜三井住友海上火災保険
• 2012年2月公開の Java SE の脆弱性を狙う攻撃に関する注意喚起 - JPCERT
• 「Flashback」と同じJava脆弱性を悪用するマルウェア - MacとWindowsが標的 - Security NEXT
• 2012年に気になった脆弱性をまとめてみる - 思い立ったら書く日記 - はてなブログ
• JVNDB-2012-002651 - JVN iPedia - 脆弱性対策情報データベース
• Oracle Java SE JDK7およびJRE7のサンドボックス迂回により任意のコードが実行される脆弱性（CVE-2012-4681）に関する検証レポート
• JVNDB-2012-005060 - JVN iPedia - 脆弱性対策情報データベース
• セキュリティ対策の各種サービス｜サイバー攻撃・情報漏えい保険『サイバープロテククター』
• 2012年10月公開の Java SE の脆弱性を狙う攻撃に関する注意喚起 - JPCERT
• メールの脅威へ対抗するために必要な「3つのポイント」とその対処法 - GSX
• JavaSE(JDK)をインストールしたら必ずやっておきたい設定 #oracle - Qiita
• Oracle Java SE JDKおよびJREのリフレクション処理の脆弱性により - NTTデータ先端技術