ColdFusionのゼロデイ攻撃か？

　発端は、Kim Halavakoski氏というある企業のCSOの個人のSNSへの書き込みから始まった。彼は、13日（米国時間、注記がなければ以下同）、いくつかの脆弱性を調べているときNVDにアクセスできないことに気づき、NVDを管理しているNIST（National Institute of Standards and Technology）にメールで問い合わせを行った。その返事を引用しつつ、自身のGoogle＋のアカウントで投稿を行った。

　その内容によれば、NIST担当者の返事は「3月8日にNVDのファイアウォールが不審なトラフィックを発見し、NVDサーバにマルウェア感染の疑いがあるとして、一時的にサーバを止めている。現在、いつ復旧できるかわからないが、鋭意復旧作業中である。また、いまのところNVDやNISTのサーバ情報が利用された証拠は見つかっていない。」というものだった。

　その後、いくつかの報道機関やセキュリティ関連のニュースサイトが、この件を報じている。英国のニュースサイトの記事では「原因はAdobeの（Webアプリケーション開発ソフトである）ColdFusionにあると思っている。攻撃は、ベンダーから脆弱性情報とパッチの提供が行われる以前に行われた可能性がある」と、Halavakoski氏に返事をした同じ担当者のコメントが掲載された。

　この記事によれば、問題のColdFusionの脆弱性は1月4日にアドバイザリが公開され、同15日にパッチが公開されたもので、4つの脆弱性に関するものだ。

　感染の可能性があるのはNISTの2台のサーバで、同期時の取材時の段階で、NISTは2台とも停止させている。1台はNVDのサーバであり、もう1台はいくつかの政府関連のサイト（manufacturing.gov、e3.gov、 greensuppliers.gov、emtoolbox.nist.gov、nsreserve.gov、stonewall.nist.gov）を管理しているものだ。

　最悪のケースでいうと、2台のサーバは2か月間マルウェアに感染していたことになるかもしれないと、同記事は述べている（あくまでも記事がそう述べているだけで、確認はされていない）。なお、この脆弱性によって可能な攻撃は、管理者権限でのサーバアクセスと制限されたディレクトリへのアクセスとなっている。