Apache Struts2にCVSS 9.5の重大な脆弱性が見つかった。この脆弱性を含んだバージョンは合計で4万回ダウンロードされており、広範囲での影響が懸念される。
この記事は会員限定です。会員登録すると全てご覧いただけます。
オープンソースソフトウェア(OSS)のWebアプリケーションフレームワーク「Apache Struts2」に重大な脆弱(ぜいじゃく)性が見つかった。
研究者たちの警告によると、数日後にパッチが適用されたにもかかわらず、この脆弱性は攻撃者によって積極的に悪用されているという。
Apache Software Foundationからの報告によると(注1)、同脆弱性には「CVE-2024-53677」という共通識別子が割り当てられており(注2)、ファイルアップロードのロジックに欠陥があるとされている。共通脆弱性評価システム(CVSS)において、同脆弱性は9.5と評価されており、重大なリスクにつながると考えられている。
この脆弱性を悪用することで、攻撃者はファイルアップロードのパラメータを操作してパストラバーサルを実行できる。Apache Software Foundationは、ユーザーに対して、Apache Struts2を6.4.0以上にアップデートし、「Action File Upload Interceptor」を使用するよう促している。セキュリティ研究者は、この脆弱性を利用して攻撃者が悪質な行動をとる恐れがあると警告している。
サイバーセキュリティ教育を提供するSANS Technology Instituteのヨハネス・ウルリッヒ氏(研究学部長)は(注3)、電子メールで次のように述べた。
「Apache Struts2のアップロード機能における脆弱性により、攻撃者はサーバの制限されたエリアにファイルをアップロードでき、それがコード実行に悪用される恐れがある」
ウルリッヒ氏によると、典型的な攻撃シナリオにおいて、ハッカーはWebシェルをアップロードし、それによってサーバでコマンドを実行したり、さらなる侵害を開始したりする簡単なインタフェースを手に入れることになるという。
サイバーセキュリティ事業を営むSonatypeは、2024年12月20日(現地時間、以下同)に公開したブログ投稿で「Javaに関する中央リポジトリである『Maven Central』のデータによると、修正が公開された同年12月11日以降、脆弱性を備えたコンポーネントは4万回ダウンロードされた」と述べた(注4)。
Sonatypeによると、過去1週間におけるApache Struts2のダウンロードの約90%は、脆弱性のあるバージョンだったという。Sonatypeの関係者は「これが非常に重大な問題であり、対処する時間が不足していることを示している」と述べた。
研究者たちは今回の脆弱性について、「CVE-2023-50164」としてリストに掲載されている以前の脆弱性に関連する問題に基づいていると警告している(注5)。このつながりが、一部の研究者たちにパッチの不完全さに関する懸念を抱かせている。
Sonatypeのブライアン・フォックス氏(共同創業者兼最高技術責任者)は「アップデートだけでは脆弱性に完全に対処できず、異なるファイルアップロードインターセプターを活用するために必要なコードの変更が軽減策を格段に複雑にする」とコメントしている。
フォックス氏は、2024年12月18日の「LinkedIn」の投稿で「これによって修正に必要な労力が大幅に増加し、露出期間が大幅に延長される」と述べた(注6)。
サイバーセキュリティ事業を営むRapid7のスティーブン・フューワー氏(プリンシパルセキュリティリサーチャー)は(注7)、実際にこの脆弱性が積極的な悪用されているのかどうか、また、どのくらいの範囲で悪用されているのかという点に疑問を呈した。同氏は「公開されているPoC(概念実証)のエクスプロイトがハニーポットシステムに対して使用されていることに関する観察から懸念が生じている」と付け加えた。
フューワー氏は、2024年12月20日に電子メールで「脆弱性が有効となるシステムに対する悪用が成功しているかどうかは判明していない」と述べた。
フューワー氏によると、特定のWebアプリケーションに対する悪用を成功させるためには、公開されているPoCのエクスプロイトを修正する必要があるという。
(注1)S2-067(Confluence)
(注2)CVE-2024-53677 Detail(NIST)
(注3)Exploit attempts inspired by recent Struts2 File Upload Vulnerability (CVE-2024-53677, CVE-2023-50164)(SANS Technology Institute)
(注4)CVE-2024-53677: A critical file upload vulnerability in Apache Struts2(sonatype)
(注5)CVE-2023-50164 Detail(NIST)
(注6)Brian Fox(Linkedin)
(注7)CVE-2024-53677(AKB)
© Industry Dive. All rights reserved.