Apache Struts2の脆弱性情報に関する注意喚起のセキュリティニュースを2017年3月と4月に掲載しましたが、また新たにApache Struts2のRCE関連の脆弱性が報告されました。2017年9月7日にIPAにて公開されている攻撃コードが動作することが確認されているため、より一層緊急度を挙げた対策を実施する必要があります。
本記事はこちらよりPDFにてご覧頂けます。
【続報】注意喚起:Apache Struts 2の脆弱性情報と
Sniperシリーズのシグネチャーリリースについて
1.概要
Apache Struts 2 の脆弱性情報に関する注意喚起のセキュリティニュースを2017年3月(TR17-03)と4月(TR17-04)に掲載しましたが、また新たにApache Struts 2のRCE※関連の脆弱性「CVE-2017-9805(S2-052)」が報告されました。
今回の脆弱性では、Apache Struts 2でRESTプラグインを有効に設定したサーバにて攻撃者がリモートで任意のコード(サーバーシャットダウン、バックドア設置等)を実行できる可能性があります。
2017 年 9 月 7 日にIPAにて、公開されている攻撃コードが動作する事が確認されている為、より一層緊急度を上げた対応を実施する必要があります。
※RCE(Remote Code Execution)・・・遠隔でのコード実行
2.脆弱性情報詳細
(1) Apache Struts2(CVE-2017-9805)の脆弱性
CVE-2017-9805は、RESTプラグインのデシリアライズ処理※において、細工されたXMLペイロードを処理する際に任意のコードが実行可能となる脆弱性です。
※ デシリアライズ処理(Deserialization) : 送信されたデータを元のデータ形式に復元する処理
(2)対象となるバージョン
- Apache Struts 2.1.2 から 2.3.33 まで
- Apache Struts 2.5 から 2.5.12 まで
(3)対策
Apache Struts を以下の最新バージョンに更新する。
- Apache Struts 2.3.34
- Apache Struts 2.5.13
・RESTプラグインの削除や、XML形式のリクエストを受け付けないよう制限する。
3. Sniper IPS, Sniper ONEでの対策シグネチャーリリース
Sniper IPS, Sniper ONE シリーズは今回の脆弱性に対するシグネチャーを9月13日付けでリリースいたしました。今回のようにシステムの脆弱性が見つかってもバージョンアップなどのシステム更新が必要で早急に対応できない場合に、Sniper IPS 等のセキュリティ製品による多層防御システムは有効です。今回、リリースしたシグネチャーは下記の通りです。
■9月13日 リリース (S2-052対応)
|
シグネチャーコード |
シグネチャー名 |
|
3676 |
Apache Struts2 XStreamHandler RCE |
<参考情報>
■Apache Struts 2
■Apache Struts 2 Documentation
・ Possible Remote Code Execution attack when using the Struts REST plugin with XStream
handler to handle XML payloads
■JPCERT/CC
・Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
■独立行政法人情報処理推進機構 (IPA)
・ Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052)