株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2016年06月20日 | ラックピープル

Apache Struts 2の脆弱性「S2-037」にご注意ください

Apache Struts 2のRESTプラグインをご利用の方は、至急アップデートすることを
お勧めします。
なお、S2-037はS2-033と類似の脆弱性です。S2-033についてDMIの無効化により
対策していたとしてもS2-037の脆弱性は攻撃が成功しますのでご注意ください。


注意喚起情報は、ラックメールマガジン(臨時号)にて、いち早く皆様にお知らせしています。
配信をご希望の方はこちらからご登録いただけます。


米国時間の6月17日に公式サイトでアナウンスされたS2-037の脆弱性について、弊社では、WindowsおよびLinux上で動作するApache Struts 2(以降、Struts 2と呼ぶ)で有効な攻撃コードを確認しています。また、一部の攻撃コードは中国でも公開されています。

この脆弱性は、RESTプラグインを使用している場合に影響を受けます。
攻撃により、アプリケーションサーバの実行権限で、リモートから任意のOSコマンドを実行されてしまう恐れがあります。本件はS2-033の脆弱性と類似していますが、S2-033の回避策である「DMIの無効化」を実施している環境においても攻撃が成功することを確認しています。Struts 2をご利用の方は、至急アップデートすることをお勧めします。

なお、本事象については、6月10日に公的機関であるIPAおよびJPCERT/CCに情報共有を行いました。また、6月14日にIPAを経由して開発者であるApache Software Foundationにも通知しましたが、開発者からは、通知時点で問題を把握していると回答をいただいていました。

影響を受けるバージョン

Apache Struts 2.3.20 から 2.3.28.1 まで

再現確認をした環境

弊社において、攻撃が成功した環境は下記の通りです。
アプリケーションは公式で配布している「struts2-rest-showcase」を使用しています。

攻撃の成否

攻撃により、電卓プログラムを実行

攻撃により、電卓プログラムを実行

対策方法

対策済みのバージョンStruts 2.3.29にアップデートしてください。
アップデートまでの暫定回避策として下記をご検討ください。なお、あくまで暫定ですので抜け漏れや誤検知が発生する可能性があります。

暫定回避策
特定文字列を含むリクエストを拒否する
Apache HTTP Serverのmod_rewriteの設定例

RewriteEngine on
RewriteRule [^a-zA-Z0-9]OgnlContext[^a-zA-Z0-9] - [F]

想定される質問

Q:Struts 1への影響はありますか?
A:Struts 1にはOGNLの機能やRESTプラグインが存在しないため、本脆弱性の影響は受けません。

参考情報
Apacheソフトウェア財団のセキュリティ情報 S2-037
共通脆弱性識別子 CVE-2016-4438

Apacheソフトウェア財団のセキュリティ情報 S2-033
共通脆弱性識別子 CVE-2016-3087

「Apache Struts」において任意のコードを実行可能な脆弱性対策について(JVN#07710476):IPA 独立行政法人 情報処理推進機構

Apache Struts 2 の脆弱性 (S2-037) に関する注意喚起:JPCERTコーディネーションセンター

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • Apache Struts 2 DMIへの攻撃増加と、被害発生を確認しました

  • Apache Strutsにおけるクロスサイトスクリプティングの脆弱性

  • Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響
    ~国内でいまだ大量稼働するStruts 1利用企業に、直ちに緩和策を~

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top