Malwarebytesは12月14日(米国時間)、「Recently-patched Apache Struts vulnerability used in worldwide attacks|Malwarebytes」において、Apache Strutsの脆弱性が世界中でサイバー攻撃に悪用されているとして、注意を呼び掛けた。

Apache Strutsの脆弱性の概要

この脆弱性は2023年12月7日にApacheが公開した脆弱性(CVE-2023-50164)で、悪用されると攻撃者によって悪意のあるファイルがアップロードされ、リモートコードが実行される可能性がある(参考:「Apache Strutsにリモートコード実行の脆弱性、速やかに更新を | TECH+(テックプラス)」)。

  • Recently-patched Apache Struts vulnerability used in worldwide attacks|Malwarebytes

    Recently-patched Apache Struts vulnerability used in worldwide attacks|Malwarebytes

この脆弱性は概念実証(PoC: Proof of Concept)コードが「GitHub - jakabakos/CVE-2023-50164-Apache-Struts-RCE: A critical security vulnerability, identified as CVE-2023-50164 (CVE: 9.8) was found in Apache Struts, allowing attackers to manipulate file upload parameters that can potentially lead to unauthorized path traversal and remote code execution (RCE).」にて公開されており、サイバー攻撃が容易に実行できる状況となっている。

Apache Strutsの脆弱性を悪用したサイバー攻撃の概要

Malwarebytesによると、脅威アクタはこの脆弱性を悪用することでWebシェルをWebサイトに埋め込み、永続的な攻撃を可能とする。次に、Webシェルを使用してJSP(Jakarta Server Pages)ファイルをサーバに書き込む。最後にJSPファイルをWebサーバに要求することで実行し、サーバを侵害する。

オーストラリアサイバーセキュリティセンター(ACSC: Australian Cyber Security Centre)、フランスコンピュータ緊急対応チーム(CERT-FR: French Computer Emergency Response Team)、Akamai Technologiesなどの国際的な組織は、すでに活発な悪用が確認されているとして警告を発表している。

  • X(旧Twitter)上のAkamai Technologiesの警告

    X(旧Twitter)上のAkamai Technologiesの警告

脅威アクータにとってこの脆弱性は比較的扱いやすいとされており、今後さらに多くの攻撃が発生するとみられている。Apache Strutsを利用している管理者は、影響を確認して速やかにアップデートすることが推奨されている。

また、すでに侵害されている可能性があるため、Webシェルなどの見かけないファイルが配置されていないか確認し、ログに不審な活動の形跡がないか検証することが望まれている。