「Apache Struts 2」に重大な脆弱性、直ちに更新を:Strutsを使う全てのアプリケーションに影響
「過去に同様の重大な脆弱性が発覚した際は、その日のうちに悪用コードが公開され、重要インフラや顧客情報が危険にさらされた」とセキュリティ企業は指摘している。
JavaでWebアプリケーションを開発するためのオープンソースフレームワーク「Apache Struts 2」に深刻な脆弱性が発見され、Apache Software Foundationが更新版を公開して対処した。Strutsの脆弱性は過去に重大な事案を引き起こしたこともあり、直ちに対応する必要がある。
Apache Software Foundationのセキュリティ情報によると、リモートでコードを実行される恐れのある脆弱性が、「Struts 2.3.34」と「Struts 2.5.16」で確認された。危険度は最も高い「Critical」に分類。サポート対象外のバージョンも影響を受ける可能性がある。この脆弱性を修正する更新版として、「Struts 2.3.35」「Struts 2.5.17」が公開された。
今回の問題を発見したセキュリティ企業Semmleでは、「過去に同様の重大な脆弱性が発覚した際は、その日のうちに悪用コードが公開され、重要インフラや顧客情報が危険にさらされた」と指摘し、Strutsを使っている組織や開発者に対し、Strutsコンポーネントを直ちに更新するよう強く勧告している。
Semmleによれば、この脆弱性はApache Strutsの中核に存在していて、Strutsを使っている全てのアプリケーションが潜在的な影響を受ける。リモートコード実行の脆弱性を突いて社内ネットワークに侵入されれば、インフラとデータの両方に危険が及ぶ。
実際、2017年に米信用情報機関大手のEquifaxから大量の個人情報が流出した事件は、Strutsの脆弱性放置が原因だったことが分かっている。
Strutsは一般向けのWebサイトに使われていることから、攻撃者にとっては脆弱性のあるシステムを見つけやすく、悪用も簡単だといい、「影響を受けるシステムは直ちにアップデートすることが決定的に重要。対応が遅れれば無責任なリスクを冒す」とSemmleは警告している。
関連記事
- 米信用情報機関の個人情報大量流出、Strutsの脆弱性放置が原因
今回悪用されたApache Strutsの脆弱性は、3月に修正パッチが公開されていた。Equifaxがこの脆弱性を突く不正アクセスの被害に遭ったのは5月中旬だった。 - Apache Struts2の脆弱性、ファイル暗号化のランサムウェアに悪用
1カ月前に発覚した「Apache Struts2」の脆弱(ぜいじゃく)性が、ランサムウェア「Cerber」の亜種を使った、Windowsに対する攻撃に悪用される事例が多発しているという。 - 「Apache Struts 2」の更新版公開、複数の脆弱性に対処
Struts 2.5.14までのバージョンに脆弱性があり、不正なリクエストを使ってサービス妨害(DoS)攻撃を仕掛けられる恐れがある。 - Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.