Malwarebytesは12月14日(米国時間)、「Recently-patched Apache Struts vulnerability used in worldwide attacks|Malwarebytes」において、Apache Strutsの脆弱性が世界中でサイバー攻撃に悪用されているとして、注意を呼び掛けた。
Apache Strutsの脆弱性の概要
この脆弱性は2023年12月7日にApacheが公開した脆弱性(CVE-2023-50164)で、悪用されると攻撃者によって悪意のあるファイルがアップロードされ、リモートコードが実行される可能性がある(参考:「Apache Strutsにリモートコード実行の脆弱性、速やかに更新を | TECH+(テックプラス)」)。
この脆弱性は概念実証(PoC: Proof of Concept)コードが「GitHub - jakabakos/CVE-2023-50164-Apache-Struts-RCE: A critical security vulnerability, identified as CVE-2023-50164 (CVE: 9.8) was found in Apache Struts, allowing attackers to manipulate file upload parameters that can potentially lead to unauthorized path traversal and remote code execution (RCE).」にて公開されており、サイバー攻撃が容易に実行できる状況となっている。
Apache Strutsの脆弱性を悪用したサイバー攻撃の概要
Malwarebytesによると、脅威アクタはこの脆弱性を悪用することでWebシェルをWebサイトに埋め込み、永続的な攻撃を可能とする。次に、Webシェルを使用してJSP(Jakarta Server Pages)ファイルをサーバに書き込む。最後にJSPファイルをWebサーバに要求することで実行し、サーバを侵害する。
オーストラリアサイバーセキュリティセンター(ACSC: Australian Cyber Security Centre)、フランスコンピュータ緊急対応チーム(CERT-FR: French Computer Emergency Response Team)、Akamai Technologiesなどの国際的な組織は、すでに活発な悪用が確認されているとして警告を発表している。
脅威アクータにとってこの脆弱性は比較的扱いやすいとされており、今後さらに多くの攻撃が発生するとみられている。Apache Strutsを利用している管理者は、影響を確認して速やかにアップデートすることが推奨されている。
また、すでに侵害されている可能性があるため、Webシェルなどの見かけないファイルが配置されていないか確認し、ログに不審な活動の形跡がないか検証することが望まれている。