シマンテックセキュリティレスポンスは先日のブログで、Java のゼロデイ脆弱性を狙った攻撃が Cool 悪用ツールキットによって拡散され、活動中であることをご報告しました。Cool 悪用ツールキットのほかに、Blackhole、Redkit、Impact といったメジャーな悪用ツールキットも、パッチ公開前の今回の脆弱性を悪用していることが確認されています。
シマンテックは現在、各種の悪用ツールキットで拡散されている JAR ファイルを Trojan.Maljavaとして検出しますが、さらに Trojan.Maljava!gen26の検出定義も追加したところです。
また、悪質な JAR ファイルや関連する悪用の試みを未然に遮断するために、シマンテックは以下の IPS シグネチャをリリースしました。
- Web Attack: Malicious Java Download CVE-2013-0422
- Web Attack: Java JMX RCE CVE-2013-0422
- Web Attack: Java JMX RCE CVE-2013-0422 2
- Web Attack: Exploit Toolkit Website 15
脅威を含む JAR ファイルを遮断すれば、悪質なファイルをダウンロードして実行してしまう恐れはありません。
インフィールドの遠隔測定から、IPS 技術は悪用ツールキットによる攻撃を毎日ほぼ 300,000 件も遮断していることが確認できます。今回の脅威の IPS 検出に基づいた以下の分布図を見ると、過去 1 週間の地理的な分布がわかります。
米国国土安全保障省は、この脆弱性を修正するパッチが公開されるまで、ブラウザで Java を無効にするよう勧告を出しました。
更新情報(2012 年 1 月 13 日) - Oracle 社からパッチが公開されました(英語)。Java をお使いの方は、できるだけ早くこのパッチをダウンロードしてインストールすることを強く推奨します。また、Oracle 社からは、この脆弱性についての詳しいブログ(英語)も公開されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。