Oracleがクリティカルパッチをリリースした数日後に、CVE-2013-2423がすでに悪用されていることが分かった。履歴を確認すると、4月21日に悪用され始めたようで、数時間前まで継続して活発に発生していた。

url_list (122k image)

 もっとよく見てみるために、Metasploitモジュールで見つけたクラスと、実際に悪用されたサンプルに含まれているクラスを比較した画像を以下に挙げる。

Metasploit (95k image)

 興味深いことに、Metasploitモジュールは20日に公開されており、先に述べたように、その翌日にはこのエクスプロイトが実際に悪用されるようになった。

 PoC(概念実証、proof of concept)についての情報はここに掲載されている。

 ファイルはExploit:Java/Majava.B.として検知される。

サンプルのハッシュ:
1a3386cc00b9d3188aae69c1a0dfe6ef3aa27bfa
23acb0bee1efe17aae75f8138f885724ead1640f



Post by - Karmina および @Timo