Apache Strutsの脆弱性を突く攻撃ツールを確認――トレンドマイクロ

確認されたハッキングツールは、1つのツールで攻撃に必要な操作をカバーしているほか、攻撃者だけが使えるバックドアを利用していることも分かった。

[ITmedia]

　Webアプリケーション構築フレームワークのApache Strutsの脆弱性を悪用する攻撃が増加している問題で、トレンドマイクロは8月9日、この攻撃に使われるツールと手口に関する解析結果を発表した。

　Apache Strutsの脆弱性は、悪用されるとWebサーバの管理者権限が不正に取得され、第三者によって任意のコマンドを実行されてしまう恐れがある。開発元のApache Strutsプロジェクトは、7月16日にこの脆弱性を修正した「Apache Struts 2.3.15.1」をリリースしている。ラックは、このリリースの翌日から脆弱性攻撃が激化していると注意喚起を行っていた。

　トレンドマイクロによると、見つかった攻撃ツールは中国語圏のハッカーコミュニティで7月19日に公開された。一般にハッキング行為は「偵察」「スキャン」「アクセス権の獲得」「アクセス権の維持／引き上げ」「窃盗」「証拠隠滅」の6つのフェーズで実施されるとし、このツールは1つで全てのフェーズをカバーしているという。

　また、この攻撃では攻撃者がアクセス権を奪取したり維持したりする目的で、バックドアとしてWebShellを設置することも分かった。WebShellには設置した人物以外が利用できないようにパスワード認証が設けられていた。アンダーグラウンドで流通しているWebShellを使えば、情報の探索や窃盗などより高度な機能も使用できてしまうとしている。

　同社では脆弱性悪用攻撃の対策として、修正版のApache Struts 2.3.15.1の適用が望ましいものの、Webアプリケーションへの適用にはテストなどに多大な時間を要することから、「mod_rewrite」などを使って脆弱性の原因となるプレフィックス（action:、redirect:、redirectAction:）を含んだリクエストを拒否する設定などの回避策の利用を勧めている。IPSやWebアプリケーションファイアウォールなどを利用して脆弱性の原因となるパケットを遮断する対策も有効だとアドバイスしている。