Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。
Apache Struts 2に深刻な脆弱性が発覚し、3月6日にリリースされた更新版で修正された。米セキュリティ機関SANS Internet Storm Centerによれば、この脆弱性は簡単に悪用でき、パッチ公開と同じ日にMetasploitモジュールが公開された。既に攻撃が横行しているとの情報もある。
SANSなどは、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。
Apache Software Foundationのセキュリティ情報によると、ファイルのアップロードに使われる「Jakarta Multipartパーサ」に脆弱性があり、悪用されればリモートでコードを実行される恐れがある。影響を受けるのはStruts 2.3.5〜Struts 2.3.31、Struts 2.5〜Struts 2.5.10の各バージョン。
JPCERTコーディネーションセンター(JPCERT/CC)によると、Jakarta MultipartはStruts 2でmultipart/form-dataを処理するため標準で組み込まれているパーサ。脆弱性を悪用すれば、HTTPリクエストの「Content-Type」ヘッダに攻撃コードを仕込んでWebサーバで実行させることが可能だとSANSは指摘している。
Ciscoのセキュリティ部門Talosは3月8日のブログで、既にこの脆弱性を突く攻撃が横行していると伝えた。システムに脆弱性があるかどうかを探ろうとするコードや、Linuxファイアウォールを停止させ、マルウェアをダウンロードして実行させるコードなど、多数の事例が見つかっているという。その多くは、パッチ公開の直後に出現したコンセプト実証コード(PoC)を使っていると思われる。
Talosはこの脆弱性について「比較的簡単に悪用でき、潜在的に脆弱なシステムが明らかに存在することから、今後も大規模な攻撃が続く公算が大きい」と予想し、Struts 2の更新を急ぐよう強く勧告している。
関連記事
- Apache Strutsに複数の脆弱性、攻撃実証コードも公開
脆弱性を悪用されると、任意のコードを実行されたり、サービス不能状態にさせられたりするなどの恐れがある。 - Apache Struts2の脆弱性対策はGW前に、攻撃活発化で「緊急事態」
攻撃実証コードの有効性が確認され、国内で脆弱性の悪用を狙う攻撃が活発化している。 - (更新)Apache Strutsに危険度「高」の脆弱性、攻撃実証コードも公開
悪用された場合に任意のコードを実行される恐れがある。 - Apache Struts2にXSSの脆弱性、更新版が公開
脆弱性は2件あり、悪用された場合に任意のスクリプトを実行される恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.