ラックは、Apache Struts 2の脆弱性(S2-045、CVE-2017-5638)を悪用した攻撃が大規模に行われており、同社セキュリティ運用監視サービスJSOCでも実害を伴う重要インシデントが複数にわたり継続発生していると10日、公式ブログで注意喚起を行った。
JSOCでは7日から同脆弱性を狙った攻撃の増加傾向を確認、9日からはWebサイトにバックドアを設置するなどの攻撃を検知しており、実際に複数のユーザー環境で重要インシデント被害が発生していることを発表している。
 |
8日、9日と急上昇する攻撃と重要インシデント数。JSOC検知のインシデント通知数同社ブログより |
また、暗号化された通信経路での攻撃も確認しているため、SSLアクセラレータなど複合措置をとっている環境以外では、IDS/IPSなどによる検知が困難であること、攻撃コードは一般的な「リクエストURL」ではなく、HTTPヘッダである「Content-Type」に挿入されるためWebサーバのログに証跡が記録されない可能性などの警鐘を鳴らしている。また、参考情報として不審コマンド、不審なファイルの実際例や修正バージョンのダウンロードが纏めてあり、確認するよう呼びかけている。
