Java を利用したオープンソースの Web アプリケーション開発フレームワーク「Apache Struts」に、「遠隔でのコード実行(Remote Code Execution、RCE)」が可能な脆弱性「CVE-2017-9805」が確認されました。報道によると、Fortune 100 企業の少なくとも 65% が Apache Struts を利用して Web アプリケーションを構築していることから、この脆弱性の影響は広範囲に及ぶだろうとのことです。
「CVE-2017-9805」を突くと、広く利用されている REST(REpresentational StateTransfer)プラグインを利用している場合、Apache Struts で構築したアプリケーションが動作しているサーバで、任意のコード実行が可能になります。この脆弱性の原因となる不具合は、信用できない情報を「デシリアライズ(直列化復元)」する Apache Struts の安全でないメソッドに存在します。REST プラグインを利用している場合、Apache Struts のバージョン 2.1.2~2.3.33 および 2.5~2.5.12 がこの脆弱性の影響を受けます。攻撃者は、この脆弱性を利用することで、認証情報の窃取、データベースへの接続および全データの抽出等が可能となります。
Apache Struts の脆弱性は、2014 年には既にこのフレームワークを利用するサーバにとっての課題でした。Apache Struts はほとんどのプロセスで「Object Graph Navigation Language(OGNL)式」を利用するため、攻撃者は容易に RCE を行うために一貫してこの表現式を悪用してきました。報告によると、今回確認された「CVE-2017-9805」は、中間者攻撃を可能とし Web サーバとエンドユーザ間のトラフィックを暗号化することが可能な脆弱性「POODLE」よりも影響が大きいとする銀行もあるようです。いずれにせよ、過去に Apache Struts で発見されたリモートコード実行の脆弱性と同様に、深刻な被害をもたらす可能性があります。
「CVE-2017-9805」を発見したセキュリティリサーチャの1人である Man Yue Mo 氏は、Apache Struts が一般に公開されている Web アプリケーションで広く利用されていることの他に、Web ブラウザからの攻撃が容易であることを理由にあげ、この脆弱性のリスクが高いことを訴えています。複数の航空券予約システムや、多くの金融機関のオンラインバンキングシステムでこのフレームワークが利用されています。
Apache Struts を開発する「Apache ソフトウェア財団」は、2017 年 9 月 5 日(米国時間)に更新プログラムを公開しています。
■トレンドマイクロの対策
トレンドマイクロ製品をご利用のユーザは、この脅威から守られています。
サーバ向け総合セキュリティ製品「Trend Micro Deep Security™」をご利用のお客様は、以下の DPIルールによって脆弱性「CVE-2017-9805」を利用する脅威から保護されています。
- 1008590 – Apache Struts 2 REST Plugin XStream Remote Code ExecutionVulnerability (CVE-2017-9805)
ネットワーク型対策製品「Deep Discovery™ Inspector」は、以下の DDIルールによってこの脅威を検知します。
- 2490: CVE-2017-9805 – ApacheStruts XStream RCE Exploit – HTTP (Request)
ネットワークセキュリティ対策製品「TippingPoint」では、以下のCustom Shield Writer (CSW) および MainlineDV フィルタにより今回の脅威をブロックします。
- C1000001: HTTP: Apache Struts 2 XStreamHandler Command InjectionVulnerability
- C1000002: HTTP: Apache Struts 2 XStreamHandler Suspicious XML CommandUsage
- 29572: HTTP: Apache Struts 2 XStreamHandler Suspicious XML Command Usage
- 29580: HTTP: Apache Struts 2 XStreamHandler Command Injection Vulnerability
【更新情報】
| 2017/09/25 14:15 | DDI ルールおよび MainlineDV フィルタ情報を追加しました。 |
参考記事:
- 「New Apache Struts Vulnerability Could Be Worse than POODLE」
by Trend Micro
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)