Apache Struts 2 の脆弱性「CVE-2014-0094 [1]」を狙う「Proof-of-concept(PoC、概念実証型エクスプロイト。実際に有効な攻撃ができることを実証している攻撃コード)」が、インターネット上で公開されていることをトレンドマイクロでは確認しここに注意喚起いたします。
■Apache Struts 2 とは?
Apache Struts 2とは、Apacheソフトウェア財団が提供しているJavaベースのWebアプリケーションフレームワークです。
■CVE-2014-0094とは?
確認されている脆弱性「CVE-2014-0094」は、クラスローダーの脆弱性で、この脆弱性が悪用されると任意のコードが実行され、乗っ取りや情報窃取など様々な悪意ある活動が可能となります。Apache Struts 2 のバージョン2.0.0 から 2.3.16 が、この CVE-2014-0094 の影響を受けます。
CVE-2014-0094 に関して特筆すべき点は、この脆弱性を悪用することを可能にする PoC が、既に中国語の Webサイト上で公開されていることにあります。昨年国内外で顕著だったサイバー攻撃手法の一つが、ミドルウェアに対する攻撃で、その対象の 1つ [2]となったのがこの Apache Struts 2 でした。
Apache Struts 2 に関しては、すでに PoC がインターネット上で公開されていることから、これがインターネット上で Apache Struts 2 を利用しているWebサーバに対して悪用されるのは時間の問題と推測します。
一部 [3]では、Apache Struts 1 でもこの脆弱性の影響を受けることが発表されています。Apache Struts 1 は、ちょうど 1年前の 2013年4月にサポート終了(EOL) [4]しているバージョンになります。トレンドマイクロでは、昨年発生した Java 6 に影響のある脆弱性などの事象から、「サポート切れOS やソフトウェアへの攻撃」を 2014年に注意すべきポイントとして「脅威予測 [5]」の中で取り上げていました。Apache Struts 1 は、まさにこの「サポート切れソフトウェア」に該当するものになります。
■根本的な対策
Apache ソフトウェア財団では「CVE-2014-0094」の後に確認された脆弱性(CVE-2014-0094、CVE-2014-0112、CVE-2014-0113)を含めて修正を行った バージョン2.3.16.2 を4月25日に公開済み [6]です。Apache Struts 2 をご利用の皆様は、直ちにこの修正版を適用することを推奨します。
■トレンドマイクロの対応:
トレンドマイクロでは、この脆弱性CVE-2014-0094を悪用する攻撃に対して、弊社サーバ向け総合セキュリティ対策製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ) [7]」の仮想パッチで対応しています。
- 1006015 – Restrict Apache Struts ‘class.classLoader’ Request
Apache Struts 2 をご利用の皆様は、Apache Software Foundation から公開されている修正プログラムを適用するか、トレンドマイクロ ディープセキュリティの上記ルールを適用することを推奨します。
【更新情報】
| 2014/04/28 | 10:00 | 脆弱性への根本的対策方法を4月25日公開の修正バージョン2.3.16.2の情報に修正しました。 |