Apache Struts 2の早急なアップデートを、攻撃コード公開を踏まえIPAが呼び掛け：リモートからの情報窃取やファイル操作の恐れ

情報処理推進機構セキュリティセンターは、「Apache Struts 2」に存在する脆弱性を狙う攻撃コードが公開されていることを踏まえ、脆弱性を修正したバージョン2.3.16.1への早急なアップデートを呼び掛けている。

[高橋睦美，＠IT]

　情報処理推進機構（IPA）セキュリティセンターは2014年4月17日、オープンソースのWebアプリケーションフレームワーク「Apache Struts 2」に存在する脆弱性を狙う攻撃コードが公開されていることを踏まえ、緊急対策を呼び掛けた。脆弱性を修正したバージョン2.3.16.1への早急なアップデートを推奨している。

　Apache Struts 2のバージョン2.3.16以前には、外部からクラスローダーを操作されてしまう脆弱性が存在している。これが悪用されれば、Webサーバー内の情報を盗み取られたり、特定ファイルを操作されたり、Webアプリケーションを一時的に使用できない状態に陥らされる恐れがある。さらに、攻撃者が操作したファイルにJavaコードが含まれている場合、任意のコードが実行される恐れもあるという。

　これを踏まえて開発元のApache Software Foundationは2014年3月2日、問題を修正したバージョン2.3.16.1をリリースした。

　一方で4月上旬、この脆弱性を悪用する検証コードが公開されている。IPAがこのコードを検証した結果、Webアプリケーションの動作権限内で情報を盗み見られたり、特定ファイルを操作されたりすることを確認した。IPAでは、「悪用される可能性が高い」とし、早急な対策を呼び掛けている。

脆弱性を悪用した攻撃のイメージ（IPAの注意喚起文書より）

　対策は前述の通り、脆弱性を修正したApache Struts 2.3.16.1にバージョンアップすること。それが困難な場合は、せめてWebアプリケーションが最小限の権限で動作していることを確認すべきだ。

　なおApache Struts 2に関しては、2013年7月にも、リモートから任意のJavaコードが実行されてしまうという深刻な脆弱性が発見され、多数の攻撃が発生。国内でも、外部からの不正侵入につながる被害が報告された。