「Apache Struts 2」の新たな脆弱性を悪用するPoCコード、セキュリティ企業が発見:任意のコードが実行される恐れ
2018年8月24日に発表されたばかりの「Apache Struts 2」の脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードが見つかった。
広く普及したオープンソースのWebアプリケーションフレームワーク「Apache Struts 2」で発表されたばかりの脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードを、セキュリティ研究者が発見した。これを受け、スロバキアのセキュリティ企業ESETが公式ブログに解説記事を掲載。以下、内容を抄訳する。
このPoCコードは、脅威インテリジェンス企業Recorded Futureがソフトウェア開発プラットフォーム「GitHub」で発見した。同社によると、このPoCコードには、「問題の脆弱性を簡単に悪用できるPythonスクリプト」が含まれる。さらに、同社はアンダーグラウンドフォーラムで、この脆弱性の悪用に関するやりとりも発見したという。
Recorded Futureは、PoCコードの発見を2018年8月24日(米国時間)に発表した。これはApache Software Foundation(ASF)がApache Struts 2の脆弱性を発表し、これを修正するアップデートを公開したわずか2日後だ。ASFの発表によると、この脆弱性は、リモートからのコード実行(RCE)に悪用される恐れがある重大なもの。ソフトウェア分析企業Semmleが2018年4月に発見し、ASFに報告していた脆弱性だ。
ASFのアドバイザリによると、この脆弱性「CVE-2018-11776」は、サポートされている全てのバージョンのApache Struts 2(バージョン2.3〜2.3.34、バージョン2.5〜2.5.16)に影響する。サポートされていないバージョンにも影響する可能性がある。
ASFはユーザーに、この脆弱性を修正するアップデートをできるだけ早く適用し、バージョン2.3.35または2.5.17へとアップグレードすることを勧めている。Semmleによると、同様の重大な脆弱性の発表から1日もたたないうちに悪用コードが公開された結果、重要なインフラや顧客データが危険にさらされたことがあるという。
問題の脆弱性は、ユーザーの入力データを十分に検証していないことに起因している。攻撃者がその悪用に成功すると、Apache Struts 2の脆弱なバージョンが動作するサーバ上で、任意のコードを実行できるようになる。
Apache Struts 2は、Fortune 100企業の3分の2で使われていると推定されている。
本文末尾でEquifaxの事例について言及した部分に誤りがありました。今回の脆弱性はEquifaxとは無関係であるため、この部分を削除いたしました。お詫びして訂正いたします。上記記事は既に修正済みです(編集部)。
関連記事
Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行
2017年3月、セキュリティクラスタが注目したのは簡単に外部からサーバコマンドを実行できる「Apache Struts 2」の脆弱性。Symantecの発行する電子証明書にも話題が集まりました。
Equifax事件の再発を防ぐために――2018年、オープンソースソフトウェア(OSS)向けリスク管理が不可欠になる理由
全世界のソフトウェア開発で、オープンソースソフトウェア(OSS)を使用する動きが広まる一方、それに伴うリスク対策が遅れている。2017年、こうしたリスクは実際に大規模な情報漏えいや訴訟を引き起こした。こうした例を踏まえて、2018年は開発現場でどのような対策が有効なのか、専門家に話を聞いた。
Gartner、セキュリティ部門が対応すべき6つのトレンドを指摘
Gartnerは、セキュリティリーダーは、セキュリティおよびリスク管理の6つの新しいトレンドを利用し、自社の回復力の強化や、セキュリティ部門の評価の向上に取り組むべきだと提言した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.