Apache Struts Apache Strutsは、Java EE Webアプリケーション開発用のMVCフレームワークに基づくオープンソースCMSです。Apache Strutsは、長年にわたり、多くのFortune 100企業や政府機関でWebアプリケーション開発に広く利用されてきました。しかし、CMSを使用して構築されたウェブサイトでは、Webアプリケーションサーバー内のCMSバージョンを継続的にアップグレードする必要があります。これは、CMSフレームワークの脆弱性がウェブサイト全体のセキュリティに直接影響を与えるためです。
Quick Heal Security Labs の調査によると、Apache Struts は 2018 年 XNUMX 月以来、主にロシアと中国のハッカーの標的となっている。
Apache Struts 攻撃に関する IDS/IPS テレメトリのこれらの継続的なヒットは、ハッカーが長期間にわたってこのフレームワークをターゲットにすることを示唆しています。
Quick Heal IDS/IPS によってブロックされた Apache Struts のリモート コード実行の脆弱性の主なものは次のとおりです。
- CVE-2017-5638
- CVE-2017-12611
- CVE-2017-9791
- CVE-2017-9805
Details これらの脆弱性について
CVE-2017-5638 2017年にApacheによって修正された最初の重大な脆弱性でした。この脆弱性のCVSSスコアは10段階評価のeは、エクスプロイトの深刻度を示しています。この脆弱性は、Jakarta Multipartパーサーに存在し、ファイルアップロードの不適切な処理中にトリガーされます。細工されたContent-Type HTTPヘッダーを介して任意のコマンドが送信されます。
2017年XNUMX月にApacheがアドバイザリを公開してから数日後、悪用を試みている事例が確認されました。当時、この脆弱性を認識している人は少なかったため、ハッカーたちはこれを悪用し、脆弱なパッチ未適用バージョンのStrutsをサーバー上でスキャンし始めました。
エクイファックス大手信用調査会社であるが、このような攻撃の被害に遭い、史上最大級のデータ侵害の一つとなった。ハッカーは、 143億円 users同じ脆弱性に対するパッチの展開が失敗していたこと自体が、侵害の原因でした。
その後、 CVE-2017-9791 7月にApacheによって修正された脆弱性により、信頼できない入力がActionMessageクラスのエラーメッセージの一部として渡されると、RCE攻撃を実行することができます。以下は、「/struts-showcase/integration/saveGangster.action” URI。
この脆弱性は Struts Showcase アプリケーションに存在し、CVE-2017-5638 で使用されたのと同じ方法で OGNL 式を使用して悪意のあるコードを実行することによって RCE が実現されます。
CVE-2017-9805 これは、2017年XNUMX月に修正されたリモートコード実行攻撃です。このバグは、Struts RESTプラグインをXStreamハンドラと組み合わせてXMLペイロードを処理する際に発生します。XStreamハンドラのtoObject()メソッドは、ユーザーがXMLリクエスト形式で送信したオブジェクトを誤ってデシリアライズします。
同様に、 CVE-2017-12611 これはApache Strutsの別の脆弱性であり、Apacheサーバー上で実行される一連のコマンドを含む細工されたURIを通じて悪用される可能性があります。このエクスプロイトでは、文字列リテラルではなく、Freemarkerタグ内の意図しない式が使用され、RCE攻撃につながります。
この脆弱性のエクスプロイト ペイロードは、次に示すように URL 文字列に表示されます。
その OGNL (Object Graph Navigation Library) は、Java オブジェクトのプロパティの取得と設定に使用されるオープンソースの式言語 (EL) です。攻撃者が任意の OGNL 式を評価できる場合、任意のコードを実行したり、アプリケーションサーバーに保存されているリソースを変更したりすることができます。
CVE-2017-9805を除く残りのXNUMXつのエクスプロイトは、RCEを実行するためにOGNL式を使用していました。そのため、ウェブサイト管理者は、ゼロデイ脆弱性による悪用を回避するために、OGNLを含むリクエストを監視することが推奨されています。
しましょう'トイレがある私たちが目撃した攻撃の地理的分布を見てみましょう。
以下に示す地図には、言及されているすべての攻撃者の IP の場所が表示されています。
攻撃元 IP の約 83% はロシアと中国にあります。
以下は、これらの攻撃のほとんどを観察している IP のリストです。
- 5.188.10.105
- 222.186.50.75
- 123.249.27.28
- 120.203.197.58
- 115.236.16.26
- 62.196.180.28
- 119.249.54.93
- 58.215.65.231
- 211.159.187.138
- 122.112.224.61
一方、攻撃の標的IPアドレスは広範囲に分散しており、攻撃は特定の国や地域を狙ったものではなく、広範囲に及んでいることが示唆されています。以下に示すように、ヨーロッパ、米国、インド、中国、そしてアフリカの一部の地域で、これらの攻撃が大量に発生しているようです。
攻撃者は主にLinuxバックドアのインストールや暗号通貨マイニングソフトウェアのインストールのためにサーバーを狙っていることが確認されています。 Monero 莫大な利益をもたらすため、攻撃者はできるだけ多くのサーバーにハッキングして、最大数のコインを生成しようとしています。
ユーザーには、Apache Struts インストールを最新のソフトウェア リリースにアップグレードし、Quick Heal による最新のセキュリティ更新も適用することを強くお勧めします。
参考情報:
- CVE-2017-5638 – Apache Struts 2 のリモートコード実行の脆弱性
- CVE-2017-9805 | Apache Struts 2 のリモートコード実行脆弱性 – Quick Heal Security Labs による分析
- EquifaxはApache Strutsの脆弱性を2度発見できず、侵入が発生
主題の専門家
サミール・パティル | クイックヒールセキュリティラボ
