Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

【脆弱性】「Struts2」の脆弱性、多数稼働する旧版にも影響 - 攻撃前提の対策を

20140424_ap_001.jpg

「Apache Struts 2」に深刻な脆弱性が見つかった問題で、国内で多数稼働していると見られる旧バージョンも同様の影響を受けるとして、ラックが警告を発している。利用サイトは検索エンジンで容易に特定されるおそれがある。

問題の脆弱性は、「ClassLoader」を操作される脆弱性「CVE-2014-0094」。ブラウザのロケーションバーから攻撃が可能で、攻撃対象となるサーバから制御を奪うことが可能。実証コードも公開されている。

ラックによれば、今回の脆弱性は、「Apache Struts 1」も同様の影響を受けるという。同バージョンは、2013年4月にサポートが終了。修正プログラムの提供が行われないのはもちろん、脆弱性の影響の有無といった情報提供や注意喚起も行われないため、利用者が脆弱性の影響について気が付いていないことも懸念される。

旧バージョンから拡張子を引き継いだ場合など例外はあるものの、「Apache Struts 1」を利用しているサイトを拡張子によってある程度絞り込むことが可能で、検索エンジンを利用すれば容易に攻撃対象リストを作成できるため、非常に危険な状態だ。

官公庁をはじめ、公益法人、金融機関などを含め、依然として同バージョンを含むウェブサイトが国内において多数稼働している可能性もある。

「Apache Struts 2」の脆弱性が悪用され、情報漏洩やサイト改ざんなどを行う攻撃が発生しているこれまでの経緯もあり、同社は攻撃を受けることを前提とした対策が重要であると指摘。

提供ベンダーより個別のサポートを受けたり、パラメーターに不正な文字列を含むリクエストを拒否するフィルタ機能を実装することや、ウェブアプリケーションファイアウォール(WAF)、IPSによる防御など対策を講じるなど、対策を呼びかけている。

またサポート中である「Apache Struts 2」に関しても、修正版として公開された「同2.3.16.1」での対応が不十分であり、脆弱性が含まれるとの報告も出ているため、今後リリースされるバージョンを適用する必要があると、あわせて注意を喚起している。

(Security NEXT - 2014/04/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Struts 2.3」系、2019年5月にサポート終了 - 移行の検討を
「Apache Struts」のアップロード機能に深刻な脆弱性 - リモートよりコード実行のおそれ
「Struts 2」脆弱性、公開2日後には攻撃発生 - 攻撃者は1週間前から別の攻撃も展開
国際金融取引システムの不正送金に北朝鮮「APT38」が関与 - 外交交渉の裏で止まぬ攻撃
「Struts 2」脆弱性を狙う攻撃キャンペーン「Bleeding Thunder」 - 国内企業のサイト含む標的リストも
脆弱な「Struts 2」サイトの探索行為 - ロシアの攻撃グループが関与か
IoTボット、感染対象を「Apache Struts 2」やセキュリティ製品にも拡大
CiscoやOracle、「Struts 2」脆弱性の影響受ける製品をアナウンス
対「Struts 2」の脆弱性攻撃が発生、目的はマイニング - さらなる悪用増加に要警戒
「Apache Struts 2」脆弱性に実証コード - 地下フォーラムでも不穏な動き