この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。
Apache Struts 2に深刻な脆弱性が発覚し、3月6日にリリースされた更新版で修正された。米セキュリティ機関SANS Internet Storm Centerによれば、この脆弱性は簡単に悪用でき、パッチ公開と同じ日にMetasploitモジュールが公開された。既に攻撃が横行しているとの情報もある。
SANSなどは、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。
Apache Software Foundationのセキュリティ情報によると、ファイルのアップロードに使われる「Jakarta Multipartパーサ」に脆弱性があり、悪用されればリモートでコードを実行される恐れがある。影響を受けるのはStruts 2.3.5〜Struts 2.3.31、Struts 2.5〜Struts 2.5.10の各バージョン。
JPCERTコーディネーションセンター(JPCERT/CC)によると、Jakarta MultipartはStruts 2でmultipart/form-dataを処理するため標準で組み込まれているパーサ。脆弱性を悪用すれば、HTTPリクエストの「Content-Type」ヘッダに攻撃コードを仕込んでWebサーバで実行させることが可能だとSANSは指摘している。
Ciscoのセキュリティ部門Talosは3月8日のブログで、既にこの脆弱性を突く攻撃が横行していると伝えた。システムに脆弱性があるかどうかを探ろうとするコードや、Linuxファイアウォールを停止させ、マルウェアをダウンロードして実行させるコードなど、多数の事例が見つかっているという。その多くは、パッチ公開の直後に出現したコンセプト実証コード(PoC)を使っていると思われる。
Talosはこの脆弱性について「比較的簡単に悪用でき、潜在的に脆弱なシステムが明らかに存在することから、今後も大規模な攻撃が続く公算が大きい」と予想し、Struts 2の更新を急ぐよう強く勧告している。
Copyright © ITmedia, Inc. All Rights Reserved.