2018年8月24日に発表されたばかりの「Apache Struts 2」の脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードが見つかった。
広く普及したオープンソースのWebアプリケーションフレームワーク「Apache Struts 2」で発表されたばかりの脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードを、セキュリティ研究者が発見した。これを受け、スロバキアのセキュリティ企業ESETが公式ブログに解説記事を掲載。以下、内容を抄訳する。
このPoCコードは、脅威インテリジェンス企業Recorded Futureがソフトウェア開発プラットフォーム「GitHub」で発見した。同社によると、このPoCコードには、「問題の脆弱性を簡単に悪用できるPythonスクリプト」が含まれる。さらに、同社はアンダーグラウンドフォーラムで、この脆弱性の悪用に関するやりとりも発見したという。
Recorded Futureは、PoCコードの発見を2018年8月24日(米国時間)に発表した。これはApache Software Foundation(ASF)がApache Struts 2の脆弱性を発表し、これを修正するアップデートを公開したわずか2日後だ。ASFの発表によると、この脆弱性は、リモートからのコード実行(RCE)に悪用される恐れがある重大なもの。ソフトウェア分析企業Semmleが2018年4月に発見し、ASFに報告していた脆弱性だ。
ASFのアドバイザリによると、この脆弱性「CVE-2018-11776」は、サポートされている全てのバージョンのApache Struts 2(バージョン2.3〜2.3.34、バージョン2.5〜2.5.16)に影響する。サポートされていないバージョンにも影響する可能性がある。
ASFはユーザーに、この脆弱性を修正するアップデートをできるだけ早く適用し、バージョン2.3.35または2.5.17へとアップグレードすることを勧めている。Semmleによると、同様の重大な脆弱性の発表から1日もたたないうちに悪用コードが公開された結果、重要なインフラや顧客データが危険にさらされたことがあるという。
問題の脆弱性は、ユーザーの入力データを十分に検証していないことに起因している。攻撃者がその悪用に成功すると、Apache Struts 2の脆弱なバージョンが動作するサーバ上で、任意のコードを実行できるようになる。
Apache Struts 2は、Fortune 100企業の3分の2で使われていると推定されている。
Copyright © ITmedia, Inc. All Rights Reserved.