「Apache Struts 2」の新たな脆弱性を悪用するPoCコード、セキュリティ企業が発見：任意のコードが実行される恐れ

2018年8月24日に発表されたばかりの「Apache Struts 2」の脆弱（ぜいじゃく）性を悪用するPoC（概念実証）コードが見つかった。

[＠IT]

　広く普及したオープンソースのWebアプリケーションフレームワーク「Apache Struts 2」で発表されたばかりの脆弱（ぜいじゃく）性を悪用するPoC（概念実証）コードを、セキュリティ研究者が発見した。これを受け、スロバキアのセキュリティ企業ESETが公式ブログに解説記事を掲載。以下、内容を抄訳する。

　このPoCコードは、脅威インテリジェンス企業Recorded Futureがソフトウェア開発プラットフォーム「GitHub」で発見した。同社によると、このPoCコードには、「問題の脆弱性を簡単に悪用できるPythonスクリプト」が含まれる。さらに、同社はアンダーグラウンドフォーラムで、この脆弱性の悪用に関するやりとりも発見したという。

　Recorded Futureは、PoCコードの発見を2018年8月24日（米国時間）に発表した。これはApache Software Foundation（ASF）がApache Struts 2の脆弱性を発表し、これを修正するアップデートを公開したわずか2日後だ。ASFの発表によると、この脆弱性は、リモートからのコード実行（RCE）に悪用される恐れがある重大なもの。ソフトウェア分析企業Semmleが2018年4月に発見し、ASFに報告していた脆弱性だ。

　ASFのアドバイザリによると、この脆弱性「CVE-2018-11776」は、サポートされている全てのバージョンのApache Struts 2（バージョン2.3〜2.3.34、バージョン2.5〜2.5.16）に影響する。サポートされていないバージョンにも影響する可能性がある。

　ASFはユーザーに、この脆弱性を修正するアップデートをできるだけ早く適用し、バージョン2.3.35または2.5.17へとアップグレードすることを勧めている。Semmleによると、同様の重大な脆弱性の発表から1日もたたないうちに悪用コードが公開された結果、重要なインフラや顧客データが危険にさらされたことがあるという。

　問題の脆弱性は、ユーザーの入力データを十分に検証していないことに起因している。攻撃者がその悪用に成功すると、Apache Struts 2の脆弱なバージョンが動作するサーバ上で、任意のコードを実行できるようになる。

　Apache Struts 2は、Fortune 100企業の3分の2で使われていると推定されている。

【訂正:2018年8月30日午後17時00分】
本文末尾でEquifaxの事例について言及した部分に誤りがありました。今回の脆弱性はEquifaxとは無関係であるため、この部分を削除いたしました。お詫びして訂正いたします。上記記事は既に修正済みです（編集部）。