【NEW】Apache Struts2 の脆弱性(S2-052、CVE-2017-9805)について

2017.09.07

Apache Struts2に関して、新たに深刻な脆弱性「S2-052(CVE-2017-9805)」が確認されています。
この脆弱性が悪用されると、Struts2環境でRESTプラグインを使用している場合に、XMLリクエストの処理を利用してリモートで任意のコードが実行される恐れがあります。
JPCERT/CC および IPAからも、危険度の高い脆弱性として注意喚起が行われており、Scutumでも実際の攻撃を観測しております。

Apache Struts2 の脆弱性 (S2-052) に関する注意喚起【2017/09/06 JPCERT/CC】 Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052)【2017/09/06 IPA】

本脆弱性を悪用する攻撃コードが公開されており、これに対応するStruts2の修正済みバージョンへのアップデートが推奨されています。

【Scutum の対応】

WAF「Scutum」では、2017年9月6日午前(日本時間)の段階で、公開された攻撃コードについて防御できる状態に更新済みです。 今後、追加情報が公開された場合や、調査により新たな情報が判明した場合は、随時対応を検討してまいります。

日経BP社「すべてわかるセキュリティ大全2018」にて取材記事が掲載されました

2017.08

日経BP社「すべてわかるセキュリティ大全2018」(2017年7月刊)にて、Scutum技術チームのメンバー(ビットフォレスト取締役CTO 佐藤匡、同シニアマネージャー 野村真作)がStruts2の一連の脆弱性の背景を解説した取材記事が掲載されました。

『知るほどに怖くなる!?Struts2脆弱性のメカニズム』(記事初出:2017/05/12 ITPro)

Apache Struts2 の脆弱性(CVE-2017-9791、S2-048)について

2017.07.10

Apache Struts2 の新たな脆弱性が報告されております(CVE-2017-9791、S2-048)。
Sturts2でStruts1プラグインを使用している場合に、攻撃者がリモートで任意のコマンドを実行できる可能性があります。
本脆弱性に関して、JPCERTコーディネーションセンターからも注意喚起が行われています。

Apache Struts 2 の脆弱性 (S2-048) に関する注意喚起【2017.07.10 JPCERT/CC】

【Scutum の対応】

今回の脆弱性を狙った攻撃でも、過去のS2-045/S2-046等の脆弱性と同様、OGNLインジェクションの手法が利用されることとなります。WAF 「Scutum」では既にStruts2のOGNLインジェクションを幅広く防止する機能を実装しており、Scutumを経由した通信については本脆弱性の影響を受けることはありません。

参考:WAF Tech Blog 2017.06.01

【2017年3月】Apache Struts2 の脆弱性(CVE-2017-5638、S2-045、S2-046)について

2017.03.09

Apache Struts2 に新たな脆弱性が見つかっております(CVE-2017-5638、S2-045)。“Jakarta Multipart parser”のファイルアップロード処理が原因となり、リモートで任意のコードが実行される可能性があります。

本脆弱性に関して、IPA、JPCERTコーディネーションセンターからも注意喚起が行われており、この脆弱性を狙った実際の攻撃が多数報告されています。

Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)【2017.03.08 IPA】 Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起【2017.03.09 JPCERT/CC】
2017.03.21

上記に関連した脆弱性が追加報告されております(S2-046)。

【Scutum の対応】

2017.03.09

CVE-2017-5638、S2-045につき、WAF 「Scutum」では2017年3月8日の段階で、公開されていた攻撃コードについて既存のシグネチャで防御できていることを確認するとともに、それ以外の攻撃パターンに関しても検証を行い、Scutumを経由した通信については本脆弱性の影響を受けないことを確認済みです。

2017.03.21

S2-046についても、WAF「Scutum」で防御できる状態に更新いたしました。Scutumを経由した通信は、本脆弱性の影響を受けません。

【2016年6月】Apache Struts2 の脆弱性(CVE-2016-4438、S2-037)について

2016.06.22

2016年6月、Apache Struts2 に新たな脆弱性が見つかりました。攻撃者が細工したHTTPリクエストを送信することにより、Apache Struts 2 を使用したアプリケーションを実行中のサーバで任意のコードが実行される可能性があります。

本脆弱性に関して、JPCERTコーディネーションセンター、IPAからも注意喚起が行われています。

Apache Struts 2 の脆弱性 (S2-037) に関する注意喚起【2016.06.20 JPCERT/CC】 Apache Struts において任意のコードを実行可能な脆弱性【2016.06.20 JVN】 「Apache Struts」において任意のコードを実行可能な脆弱性対策について【2016.06.20 IPA】

【Scutum の対応】

WAF 「Scutum」 では、脆弱性情報の公開に先立つ2016年6月16日にすでに本脆弱性(CVE-2016-4438、S2-037)への対応を完了しております。
Scutumを経由した通信につきましては、本脆弱性を利用した攻撃の影響を受けることはございません。

【2016年4月】Apache Struts2 の脆弱性(CVE-2016-3081、S2-032)について

2016.04.28

2016年4月、Apache Struts2 に新たな脆弱性が見つかりました。この脆弱性を悪用されると、遠隔の第三者によってサーバ上で任意のコードを実行される可能性があります。

本脆弱性に関して、JPCERTコーディネーションセンター、IPAからも注意喚起が行われています。

Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起 【2016.04.28 JPCERT/CC】 Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032) 【2016.04.27 IPA】

【Scutum の対応】

WAF 「Scutum」 では2016年4月27日にすでに本脆弱性(CVE-2016-3081、S2-032)への対応を完了しております。
Scutumを経由した通信につきましては、本脆弱性を利用した攻撃の影響を受けることはございません。

【2013年】Apache Struts の脆弱性について

Apache Struts に脆弱性が見つかっております。任意のOSコマンドが実行される攻撃を受ける可能性があります。

本脆弱性に関して、JPCERTコーディネーションセンターより以下の注意喚起が行われています。

Apache Struts の脆弱性 (S2-016) に関する注意喚起 【2013.07.19】

【Scutum の対応】

WAF 「Scutum」 ではすでに本脆弱性の対応を完了しております。
Scutumをご利用いただいているWEBサイトにつきましては、本脆弱性によって任意のOSコマンドが実行される攻撃を受ける可能性はございません。

【参考情報】

Scutum開発者による技術ブログ「WAF Tech Blog」では、本脆弱性を狙った攻撃について、Scutumで実際に観測・ブロックした実例をご紹介しております。

Apache Strutsの脆弱性(S2-016)を狙った攻撃の実例
【WAF Tech Blog 2013.08.05】