LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック
ラックピープル | 

Apache Struts 2 DMIへの攻撃増加と、被害発生を確認しました

JSOCでセキュリティアナリスト グループリーダーをつとめている賀川です。

2年前の2014年ゴールデンウィーク前に大騒ぎしたStrutsの脆弱性を覚えていますか?
2016年も同じこのタイミングで、ウェブアプリケーションフレームワークであるApache Struts 2の新しい脆弱性が発見され、JSOCでは多くのウェブサーバに対してこの脆弱性を狙った攻撃が発生していることを確認しました。
この攻撃によってウェブサーバが被害を受けると、システムの停止、情報漏えいなどの被害につながる可能性があるため、注意が必要です。
ゴールデンウィークという対応が手薄になる時期に被害を受けることがないよう、皆様のウェブサーバにおけるApache Struts 2の利用状況をご確認ください。

現在、セキュリティ専門家の多くが本脆弱性に関する情報の収集や解析を行っており、今後新しい情報や新しい攻撃手法が公開される可能性もあります。脆弱性対応が終了するまでは情報収集を怠らないようにしてください。

JSOCインシデント通知件数の推移

JSOCインシデント通知件数の推移

JSOCでは、4月26日午後から攻撃が始まったことを観測しています。
また、4月27日には攻撃が成功した事例を観測しました。現在も攻撃が継続しているため、注意が必要です。

攻撃手法

Apache Struts 2 には、 Dynamic Method Invocation(DMI)と呼ばれる機能に脆弱性が存在し、外部から任意のコードが実行可能な脆弱性があります。本脆弱性の悪用を目的とした特別なリクエストを受け取った場合、バックドアの設置など様々な被害を受ける可能性があります。

影響を受ける可能性のあるバージョン

・Apache Struts 2.3.20~2.3.28(Apache Struts 2.3.20.3、2.3.24.3を除く)

推奨する対策方法

組織の中にあるサーバにおけるApache Struts 2の利用状況を確認してください。サーバの中に struts2-core-X.X.X.jar というファイルがあればApache Struts 2が使われている可能性があります。X.X.Xの部分はバージョン番号が含まれるため、検索する際は省略してください。

Apache Struts 2を使用している場合、DMI機能が有効化されているか確認してください。設定ファイルである struts.xml に以下のような記載がある場合、DMI機能が有効になっています。
<constant name="struts.enable.DynamicMethodInvocation" value="true" />

影響を受ける環境である場合、バージョンアップまたはDMI機能の停止を検討してください。
ウェブサーバの構成を変更することが難しい場合、IPSやWAFによる防御を検討してください

攻撃の痕跡の確認

一般的な攻撃の痕跡の確認(不審なユーザの存在や不審なプロセスの確認)に加え、ウェブサーバのログに以下のような文字列が含まれていないか確認してください。

GET /XXXXXXXX.action?method:%23_memberAccess%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS%2c% (略)
GET /XXXXXXXX.action?method:%23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23a%3d (略)
POST /XXXXXXXX.action?method:%23_memberAccess%20%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23a%3d(略)
GET /XXXXXXXX.action?method:(%23_memberAccess).setExcludedClasses(@java.util.Collections@EMPTY(略)

※ POSTリクエストはログが残らない可能性があります
※ XXXXXXXXは任意のファイル名が入ります

検証結果を基にした攻撃成功例(/etc/passwd参照)

検証結果を基にした攻撃成功例(/etc/passwd参照)

参考URL

S2-032
Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032):IPA 独立行政法人 情報処理推進機構
警察庁セキュリティポータルサイト@police
ニュース - Struts 2の脆弱性狙う攻撃が国内でも発生、至急回避策を:ITpro

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 自信がなければサーバを止めてGWに入りましょう

  • Apache Strutsにおけるクロスサイトスクリプティングの脆弱性

  • Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響
    ~国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を~