Struts 2の脆弱性、三度目の正直なのか：セキュリティクラスタ まとめのまとめ 2017年9月版（1/3 ページ）

2017年9月のセキュリティクラスタ、話題の中心は「Apache Struts 2」でした。リモートからサーバOSのコマンドが実行できる脆弱（ぜいじゃく）性が見つかったのは、2017年に限っても3度目です。未成年者のネットを使った犯罪では、中学生とは思えないほど手の込んでいたチケットの販売詐欺と、メルカリを使ったウイルス情報販売が話題になりました。またBluetoothをオンにしているだけで乗っ取られるという「BlueBorne」脆弱性が公表されてAndroidユーザーを中心に騒ぎとなりました。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

「Struts 2」に三度目の正直？　リモートからコード実行可能な脆弱性

　2017年、2度にわたってリモートからサーバのコマンドが実行できる脆弱（ぜいじゃく）性が公表されたことから、セキュリティクラスタで1番注目を浴びているフレームワークといえば「Apache Struts 2」。またまたまた、リモートコード実行の脆弱性があるというニュースがセキュリティクラスタを駆け巡ります。なんと半年で3度目です。

　「S2-052」という新たに見つかった脆弱性は、2017年3月に大きな被害を引き起こした「S2-045/S2-046」と似ています。ただし、入力される値の形式がOGNL（Object Graph Navigation Language）からXMLに変わっています。

　影響範囲は「Struts 2.1.2〜2.3.33、Struts 2.5〜2.5.12」で、RESTプラグインを使っているサイトということです。Struts 1にはRESTプラグインが存在しないので影響を受けないようです。

　「S2-045/S2-046」同様、脆弱性の公表を待たずして攻撃コードが公表されてしまいました。攻撃環境の構築も実行も容易に可能なことから、筆者を含むたくさんの方々が攻撃を試して成功させていました。

　2017年7月の空騒ぎに終わった「S2-048」とは違い、Struts 2のRESTプラグインを使っているサイトには全て影響があるという攻撃範囲の広さが目立ちます。ただ、9月末時点では攻撃の被害に遭ったことを公表したサイトはまだないようです。

　Struts 2に対してはもう1つ「S02-053」というこちらもリモートコード実行可能な脆弱性も併せて公表されていました。こちらは、利用者が間違った使い方をしているときのみ攻撃が可能ということで、影響はほぼないようです。

　Java関連ではApache Tomcatでコード実行可能な脆弱性（CVE-2017-12615）が公表されていました。条件が限られている上に、Windowsでしか動作しない脆弱性だと当初軽く見られていましたが、Linuxなど他のプラットフォームでも動作することが分かり、慌てて確認しているツイートもありました。