ペンタセキュリティシステムズは3月25日、Webアプリケーションの脆弱性および脆弱性を狙った攻撃をまとめた月例レポート「EDR-Report」の2016年2月版を公開した。
同レポートは、脆弱性の情報を収集するオープンソースのデータベースサービス「Exploit-DB」に公開された情報を基に、ペンタセキュリティのR&Dセンターが分析したもので、年間12回公開している。
レポートによると、2月に見つかったWebアプリケーションの脆弱性攻撃は合計で32件となり1月の28件から4件の増加となった。攻撃の内訳は、SQLインジェクションが17件、クロスサイトスクリプティング(XSS)が10件、ローカルファイル挿入(Local File Inclusion:LFI)が4件、そしてファイルアップロードが1件となっている。
ペンタセキュリティが定めた独自の危険度で分類すると、危険度が最も高い「早急対応要」が7件(22%)、2番目に高い「高」が25件(78%)であった。攻撃実行の難易度で分類すると、最も攻撃が複雑で難しい「難」が3件(9%)、「中」が6件(19%)、「易」が23件(72%)であった。
主なソフトウェア別の脆弱性発生件数は、Timeclock Softwareが5件、Yeagerが4件、BlackBerry Enterprise Serviceが3件、Wordpressが3件、Redaxoが2件、SOLIDserverが2件、eClinicalWorksが2件、Hippo、Jive Forums、Tiny Tiny RSS、Dell OpenManage Server Administrator、Chamilo、Thru Managed File Transfer Portal、Symphony、Manage Engine Network Configuration Manager、UliCMS、iScripts、Atutorがそれぞれ1件となった。
2月の結果について、ペンタセキュリティでは、さまざまなソフトウェアから多様な形のSQL Injection攻撃が発見されたとしているほか、Yeager CMSでSQL Injectionと関連した独特な脆弱性が発見されたことを指摘。同脆弱性は、一般的なWebサーバでは許容されない脆弱性だが、Yeager CMSを使用するWebサーバであれば、攻撃が成功し、追加的に脅威にさらされる可能性がある脆弱性だとしており、同CMSを使用している場合、脆弱性が発見された当該ページを確認した後、セキュリティパッチを実施して、SQL Injection攻撃に追加的にさらされないようにする必要があるとしている。
さらに、クロスサイトスクリプティングもYearger CMSで分析結果、スクリプトが含まれておらずページの例外処理を活用して攻撃が成功される独特な脆弱性が発見されたとのことで、特定のパラメーターと関連して、より厳しく入力値を検証し、XSSにさらされないように注意する必要があるとしている。