Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を

この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。

» 2017年03月10日 09時45分 公開
[鈴木聖子ITmedia]

 Apache Struts 2に深刻な脆弱性が発覚し、3月6日にリリースされた更新版で修正された。米セキュリティ機関SANS Internet Storm Centerによれば、この脆弱性は簡単に悪用でき、パッチ公開と同じ日にMetasploitモジュールが公開された。既に攻撃が横行しているとの情報もある。

 SANSなどは、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。

 Apache Software Foundationのセキュリティ情報によると、ファイルのアップロードに使われる「Jakarta Multipartパーサ」に脆弱性があり、悪用されればリモートでコードを実行される恐れがある。影響を受けるのはStruts 2.3.5〜Struts 2.3.31、Struts 2.5〜Struts 2.5.10の各バージョン。

 JPCERTコーディネーションセンター(JPCERT/CC)によると、Jakarta MultipartはStruts 2でmultipart/form-dataを処理するため標準で組み込まれているパーサ。脆弱性を悪用すれば、HTTPリクエストの「Content-Type」ヘッダに攻撃コードを仕込んでWebサーバで実行させることが可能だとSANSは指摘している。

photo JPCERTコーディネーションセンターでも、脆弱性の注意喚起を促している

 Ciscoのセキュリティ部門Talosは3月8日のブログで、既にこの脆弱性を突く攻撃が横行していると伝えた。システムに脆弱性があるかどうかを探ろうとするコードや、Linuxファイアウォールを停止させ、マルウェアをダウンロードして実行させるコードなど、多数の事例が見つかっているという。その多くは、パッチ公開の直後に出現したコンセプト実証コード(PoC)を使っていると思われる。

 Talosはこの脆弱性について「比較的簡単に悪用でき、潜在的に脆弱なシステムが明らかに存在することから、今後も大規模な攻撃が続く公算が大きい」と予想し、Struts 2の更新を急ぐよう強く勧告している。

関連キーワード

脆弱性 | Struts | Apache | JPCERT/CC


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ