LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起 | 

Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について

3月6日(日本時間)に公開されたApache Struts 2における任意のコードが実行可能な脆弱性を悪用した攻撃が大規模に行われており、JSOCでも実害を伴う重要インシデント事例が複数のお客様の環境で継続して発生していることから、より一層緊急度を上げた対応の呼び掛けを行います。

JSOCアナリストチームの山坂・品川です。

既にIPAなどから広く注意喚起が呼びかけられているところでありますが、3月6日(日本時間)にApache Struts 2 の新たな脆弱性(S2-045、CVE-2017-5638)が発表されました。今回は、本脆弱性を悪用した攻撃の発生状況などについての情報を本ブログにてお知らせいたします。

JSOCでは3月7日頃より、この脆弱性を悪用した攻撃が増加傾向にあることを確認しています。 また、3月9日頃からは非常に重大な被害に繋がる恐れのある攻撃(Webサイトにバックドアの設置を行う攻撃など)を検知しており、複数のお客様の環境で被害が発生、または実際に脆弱性が存在することを確認したことによる重要インシデントが発生しております。本脆弱性は非常に危険な状態にあると判断できますので、脆弱性の影響を受ける可能性が疑われるシステムについては、安全性の確認が取れるまで一時的にネットワークから隔離を行うなど、より一層緊急度を上げた対応をご検討ください。

  • JSOCのセキュリティアナリストがDeep Analysis(検知されたアラートをパケットレベルで分析を行い、必要に応じて実際にお客様のサーバに対する無害化された疑似攻撃を実施)を行うことにより、高い精度で攻撃による影響の有無を判定しています。

JSOCインシデント通知件数の推移

3月9日までにJSOCが検知したインシデント通知数は、次のような経過をたどっています。

JSOCインシデント通知件数の推移
右軸が重要インシデント件数、左軸が攻撃失敗を確認したインシデント件数を示します。

なお、過去に Apache Struts 2 の重大な脆弱性が公表された際と同様に、SSL/TLS で暗号化された通信経路で攻撃が行われた事例も確認しました。このような通信はSSLアクセラレータを設置するなど、何らかの復号措置を取っている環境でない場合、IDS/IPS等のネットワーク上で脅威に対応するような製品では、検知することが困難です。SSL/TLS経由でサービスを提供されているシステムを運用されている場合には、特に脆弱性による影響の有無を充分ご確認ください。

このほか、今回の脆弱性を悪用する攻撃コードは、一般的な「リクエスト URL」ではなく、「Content-Type」という HTTP ヘッダに挿入されます。そのため、ログの取得設定にも依存いたしますが、Web サーバのログに攻撃の証跡が記録されない可能性が高いと考えられる点にもご留意ください。一方で、WAFなどを導入されている環境では、専用のシグネチャが無い場合でも、「異常なContent-Typeヘッダ」として検出されている可能性がありますので、WAFのログをご確認いただくことをお勧めいたします。

さらにご注意いただきたい点として、一見存在しないファイルに攻撃が行われている場合でも、リクエスト URL に指定されたパスで脆弱なバージョンの Apache Struts 2が稼働している場合には、攻撃の影響を受けることを確認しております。

参考情報

参考情報として、検知している実績からの一部となりますが、以下に攻撃に含まれる特徴の一部を記載しております。運用されている環境で、Apache Struts 2が利用されている場合には、脆弱性の影響を受けるバージョンであるかどうか等の基本的な確認に加え、これらと類似点が見られる状況がないか、併せてご確認いただくことを推奨いたします。

作業を行った記録のない不審なコマンドの実行履歴

  • ls コマンド
  • whoami コマンド
  • wget コマンド
  • uname -a コマンド
  • uname -an コマンド
  • iptables stop コマンド
  • SuSEfirewall2 stop コマンド
  • find コマンド
  • cd /tmp コマンド

など

不審なプロセスの停止

  • iptables など Firewall 関連のプロセスの意図しない停止

など

不審なファイルのダウンロード

  • hxxp://180.100.235.26:9/6
  • hxxp://120.210.129.29:5198/back.pl
  • hxxp://45.76.210.133/25/V950

など

  • 誤って接続することを防止するため、URLの先頭をhxxpに変更しております。なお、実際にファイルがダウンロードされていない場合でも、上記 URL へのアクセスの試行があった時点で、該当のホストには脆弱性がある可能性が考えられる点に注意が必要です。

不審なファイルの存在

  • 6
  • back.pl
  • V950
  • Linux2.6
  • 1.jsp
  • 3.jsp
  • ccccc.jsp
  • tmp.txt
  • common_info.jsp
  • Ftp.bat

など

該当の脆弱性の概要

影響を受ける可能性があるバージョン
  • Apache Struts 2.3.5 ~ 2.3.31
  • Apache Struts 2.5 ~ 2.5.10

  • Apache Struts 1.x については既に公式のサポートが終了しており、影響の有無については公式の情報を得ることができません。但し、本脆弱性で悪用されるOGNL は Struts1.xには実装されていないことから、影響を受けないと考えられます。
修正済みのバージョン
  • Apache Struts 2.3.32
  • Apache Struts 2.5.10.1
修正バージョンのダウンロード
  • Apache Struts
  • Apache Struts 2.3.32の入手
  • Apache Struts 2.5.10.1の入手
参考URL

本件の続報情報(2017年3月17日)はこちらをご覧ください

この記事は役に立ちましたか?

はい いいえ