JPCERT コーディネーションセンター(JPCERT/CC)は4月28日、Apache Struts 2に脆弱性が存在するとして、注意を喚起した。Dynamic Method Invocation (DMI)を有効にしている場合、遠隔の攻撃者が、細工した HTTP リクエストを送信することで、Apache Struts 2 を使用するアプリケーション を実行しているサーバで、任意のコードを実行する可能性がある。
この脆弱性の影響を受けるバージョンは、 Apache Struts 2.3.20 から 2.3.28 まで (2.3.20.3 および 2.3.24.3 を除く)。
この脆弱性の実証コードがすでに公開されており、JPCERT/CCで実証コードを用いて検証した結果、Struts アプリケーションを実行しているアプリケーションサーバの実行権限で任意のコードが実行されることが確認されたという。
|
JPCERT/CCによる検証結果 |
Apache Software Foundation より、この脆弱性を修正したバージョンが公開されているので、JPCERT/CCは、十分なテストを実施の上、修正済みバージョンを適用することを強く推奨している。
- Apache Struts 2.3.20.3
- Apache Struts 2.3.24.3
- Apache Struts 2.3.28.1
同日、ラックは同社が運営するセキュリティ監視センター「JSOC」が、この脆弱性を悪用した攻撃の増加を確認し、攻撃による被害が発生した事案も確認したことを発表している。
|
JSOCインシデント通知件数の推移 資料:ラック |
同社によると、攻撃の痕跡は、Webサーバのログに以下の文字列が含まれていないかを確認することでわかるという。
|
攻撃の痕跡を確認する方法 資料:ラック |
