Trusted Design

CVE-2019-9082 の詳細

CVEの情報

説明:
ThinkPHP before 3.2.4, as used in Open Source BMS v1.1.1 and other products, allows Remote Command Execution via public//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= followed by the command.

CVE更新日: 2019-02-24 18:29:00.207000

CVSSバージョン: 3.1

CVSSスコア: 8.8

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.974190000

EPSS更新日: 2026-07-17 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE-2019-9082は、ThinkPHPフレームワークに存在するリモートコード実行(RCE)の脆弱性です。以下に詳細を解説します。

1. 脆弱性の概要

CVE-2019-9082は、ThinkPHPのバージョン3.2.4以前に存在するPHPインジェクションの脆弱性です。これは、特定の細工されたURLリクエストを介してリモートからのコマンド実行を可能にします。この脆弱性は、CWE-94「コードインジェクションの不適切な制御」に分類されます。

1.1 影響 この脆弱性が悪用されると、リモートの攻撃者が影響を受けるシステム上で任意のコードを実行できるようになります。これにより、機密性、完全性、可用性のすべてが完全に損なわれる可能性があります。この脆弱性は、実際に積極的に悪用されており、CISA(サイバーセキュリティ・インフラセキュリティ庁)の既知の悪用されている脆弱性カタログ(Known Exploited Vulnerabilities Catalog)に登録されています。

攻撃者はこの脆弱性を利用して、Miraiのようなボットネット、Lucifer、およびクリプトカレンシーマイナーなどのマルウェアをインストールしていることが確認されています。

1.2 深刻度 * CVSS v3.1 基本スコア: 8.8 (High) * 攻撃元区分 (AV): ネットワーク (Network) * 攻撃複雑度 (AC): 低 (Low) * 必要な特権 (PR): 不要 (None) * ユーザーインタラクション (UI): 必要 (Required) * スコープ (S): 変更なし (Unchanged) * 機密性への影響 (C): 高 (High) * 完全性への影響 (I): 高 (High) * 可用性への影響 (A): 高 (High) * CVSS v2.0 基本スコア: 9.3 (High) * CWE: CWE-94 (Improper Control of Generation of Code ('Code Injection')), CWE-306 (Missing Authentication for Critical Function)

2. 対象となる環境

2.1 影響を受けるOSバージョン 特定のOSバージョンに限定されず、ThinkPHPフレームワーク自体が影響を受けます。

2.2 影響を受ける設定 * ThinkPHPのバージョン: 3.2.4より前のバージョンが影響を受けます。 * 利用製品: Open Source BMS v1.1.1など、脆弱なThinkPHPバージョンを使用している製品が影響を受けます。

3. 影響を受けた時の兆候

  • 脆弱性に対する活発な悪用が観測されています。
  • Miraiボットネット、Lucifer、クリプトカレンシーマイナーなどのマルウェアがシステムにインストールされている。
  • Webサーバーから外部への不審な接続(追加の難読化されたコードをダウンロードしようとするなど)。
  • 高度な制御を目的としたウェブシェルが検出される。
  • FortiGuard Labsは、ThinkPHP RCE脆弱性に対する高い数の攻撃試行を観測しており、1日あたり50,000件以上のIPSデバイス検出が報告されています。
  • 一般的なエクスプロイト手法として、public//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= に続いてコマンドが指定されたURLが観測されます。

4. 推奨対策

4.1 本対策 * ベンダーの指示に従ってアップデートを適用してください。 * ThinkPHPを脆弱性のないバージョン(ThinkPHP 3.2.4以降)にアップグレードしてください。 * ThinkPHP 5.x系を使用している場合は、関連するCVE-2018-20062の対策として、バージョン5.0.23 / 5.1.31以降へのアップグレードも推奨されます。

4.2 暫定回避策(緩和策) * FortiGuard Labsは、IPSシグネチャ(例: ThinkPHP.Controller.Parameter.Remote.Code.Execution)を提供しており、悪用試行を検出およびブロックできます。 * FortiEDRなどのエンドポイントセキュリティ製品は、エクスプロイト後の保護を提供できます。 * セキュリティ意識向上トレーニングやインシデント対応計画の策定を通じて、組織全体のセキュリティ体制を強化してください。 * エンドポイントでの検出および対応(EDR)やエンドポイントフォレンジックを活用し、インシデントへの対応と復旧を図ることも有効です。

他に解説すべき観点

  • CISA KEVリストへの登録: 本脆弱性は、CISAの「既知の悪用されている脆弱性(KEV)カタログ」に登録されています。これは、連邦政府機関に対して特定の期日までにこの脆弱性を修正することを義務付けており、すべての組織にとって「直ちにパッチを適用すべき」という強い警告信号となります。
  • PoCコードの公開: この脆弱性の概念実証(Proof-of-Concept, PoC)コードが公開されており、攻撃者が容易に悪用できる状態にあります。
  • 継続的な悪用キャンペーン: CVE-2019-9082は、CVE-2018-20062と共に、中国語を話すサイバー脅威グループによって積極的に悪用され続けています。これらのキャンペーンは、必ずしもThinkPHPを使用しているシステムに限定されず、広範囲のシステムを標的とする場合があります。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る