注意喚起情報

Apache Struts2 の脆弱性(S2-016)を悪用した攻撃の急増について

  • ツイート
 

当社が運営しておりますセキュリティ監視サービス「JSOC マネージド・セキュリティ・サービス」において、Webアプリケーションを構築するためのフレームワークであるApache Struts2における脆弱性(S2-016)を悪用した攻撃が多数確認されました。
当社は、本件を緊急事案と受け止め、注意喚起を配信いたします。

本注意喚起に対する関心が高く、本件に関する緊急セミナーを開催することとなりました。
緊急開催セミナーのご紹介はこちらをご確認ください。

【緊急開催セミナー】Apache Struts2 の脆弱性を悪用した攻撃の徹底解説と対策

2013年7月19日追記:

昨日18日はさらに攻撃の頻度が増加しております。
Apache Struts2を使用されている方は、十分注意をしてください。

概要

 2013年7月16日に公開された、Webアプリケーションを構築するためのフレームワークであるApache Struts2における脆弱性(S2-016)を悪用した攻撃が、2013年7月17日から急増しております。

 本件を深刻にしているのは、7月16日にセキュリティアップデートが公開され、翌日には攻撃が具現化している点です。Apache Struts2を使用されているサイトの多くは、セキュリティアップデートの適用によるWebアプリケーションへの互換性問題が懸念されるため、互換性検証作業を行う都合で対策が遅れる可能性を懸念しています。

 公開アプリケーションにてApache Struts2を利用している場合には、外部からの攻撃の影響を受ける可能性が高いと考えられます。当社では、すでに攻撃成功が疑われるインシデントを観測しており、深刻な事態につながらないよう注意喚起いたします。

攻撃件数の推移

 下図は2013年5月以降におけるApache Struts2の脆弱性を悪用した攻撃件数の推移です。

Apache Struts 2の脆弱性を悪用した攻撃件数の推移
グラフ1.Apache Struts 2の脆弱性を悪用した攻撃件数の推移

 これまでもApache Struts2に関する脆弱性情報が公開される前後で攻撃が増加する傾向がありましたが、今回の脆弱性(S2-016)が公開された直後の7月17日に、攻撃件数が急増しており、これまで以上の攻撃の規模であることが確認されました。

攻撃手法と影響

 特別なHTTPリクエストをApache Struts2上で動作しているWebアプリケーションに対して送信することで、任意のJavaコードが実行され、結果的に攻撃者により任意のOSコマンドや不正なプログラムをリモートから実行される可能性があります。

影響を受ける可能性のあるバージョン

Apache Struts 2.0.0 ~ 2.3.15

攻撃や被害を受けているかどうかの確認方法

 以下のキーワードで、Webサーバのログを検索してください。

"action:"
"redirect:"
"redirectAction:"

 該当するログがある場合には、攻撃を受けている可能性がありますため、そのリクエスト内容の正当性(通常のリクエストかどうか)を確認してください。

 セキュリティアップデートを適用していないApache Struts2を、特段セキュアな設定をせずに使用している場合には、被害を受けている可能性があります。サーバ上に不審なファイルが作成されていないかなどの詳細調査を実施することをお勧めします。

推奨する対策方法

 当該脆弱性が修正された最新版Apache Struts 2.3.15.1にアップデートする事を推奨いたします。
Webアプリケーションへの互換性などの影響を懸念し、最新バージョンにアップデートすることが速やかにできない場合には、以下の回避策についてご検討ください。ただし、バージョンアップや以下のような回避策を実施することで、Web アプリケーションの動作に影響を及ぼす可能性がありますため、ステージング環境での十分な検証など、慎重な作業をお願いいたします。

[回避策]

  • ①Webアプリケーションに対するリクエストにおけるパラメータやメソッドについて、Webアプリケーションが使用しているパラメータ名などを元に、あらかじめ許可した文字列や値のみを受け取るように制限することで、攻撃を受けた際の影響を緩和することが可能です。
  • ②実際の攻撃におけるリクエスト内容では、以下のプレフィックスが使用されるため、Webアプリケーションにて以下のプレフィックスを含んだリクエストを受け取る必要がない場合には、これを制限することで、攻撃を受けた際の影響を緩和することが可能です。

"action:"
"redirect:"
"redirectAction:"

  • ③実際の攻撃におけるリクエストは、400バイト前後のものが多く観測されており、Webアプリケーションで受け取るリクエストの長さを400バイト未満で可能な限り短く制限することで、攻撃を受けた際の影響を緩和することが可能です。
  • ④一部を除いたIPS製品では攻撃の遮断が可能であることが確認されていますので、IPSの導入も有効です。

各 IDS/IPS のシグネチャリリース状況 (2013年7月18日 9:00 時点)

【シグネチャ有り】(JSOCオリジナルシグネチャを含む)

  • IBM Security Network Intrusion Prevention System (Proventia)
  • McAfee Network Security Platform
  • Cisco IDS/IPS

JSOCにおけるインシデント発生状況 (2013年7月18日 9:00 時点)

検知事例:有
被害事例:有

参考URL

Apache Struts 2 Version Notes 2.3.15.1

Apache Struts 2 Documentation S2-016

Apache Struts 2 Documentation S2-017

  • ツイート
 
免責:

本記載事項の利用については、全て自己責任でお願いいたします。本記載事項の記述を利用した結果生じる、いかなる損失においても株式会社ラックはその責任を負いかねます。本記載事項を引用して利用される際は、必ず出典元を明記してご利用下さい。LAC、ラックは、株式会社ラックの商標です。JSOC(ジェイソック)は株式会社ラックの登録商標です。その他、記載されている製品名、社名は各社の商標または登録商標です。

戻る

LACメールマガジンのイメージ写真

ラックメールマガジン

情報セキュリティに関する情報をE-Mailにて、タイムリーに月2~3回の頻度でお届けします。

セキュリティ情報のイメージ写真

セキュリティ情報

ラックの中の人がセキュリティにまつわるさまざまな情報をつぶやきます。

緊急対応窓口:サイバー救急センター(R) 0120-362-119

サービスに関するお問い合わせ
受付時間:9:00~17:30

03-6757-0113

ラックホーム

ページトップへ