HOME > Scutumを支える技術 > 新たな脆弱性や攻撃への対応・新機能 > Apatch Struts脆弱性関連

Apatch Struts脆弱性関連

WAF 『Scutum』は、Apache Struts2 の脆弱性を利用した攻撃への速やかな対応を行っております。

Apache Struts2の脆弱性(S2-066、CVE-2023-50164)

Apache Struts2について、外部からアクセス可能なファイルの脆弱性(S2-066、CVE-2023-50164)が新たに確認されています。
ファイルアップロード時のパラメータを操作することで悪意あるファイルのアップロードが可能となり、結果的に任意のコードが実行される恐れのある脆弱性で、影響を受けるユーザには速やかなアップデートが求められます。詳細はベンダーの情報をご確認ください。

2023.12.10
Apache Struts 2 Wiki
JVN脆弱性レポート

Scutum の対応

「Scutum」では、2023年12月10日時点で、Apache Struts2 の新たな脆弱性(S2-066、CVE-2023-50164)を狙った攻撃について防御できる状態に更新いたしました。

※今後追加で情報が公開された場合は、再度対応を検討します。

Apache Struts2の脆弱性(S2-062、CVE-2021-31805)

Apache Struts2について、新たな脆弱性(S2-062、CVE-2021-31805)が確認されており、JPCERT/CCからも注意喚起が行われています。

2022.04.13
Apache Struts 2 Wiki
Apache Struts2 の脆弱性 (S2-062) に関する注意喚起【2022/04/13 JPCERT/CC】

Scutum の対応

「Scutum」では、Apache Struts2 の新たな脆弱性(S2-062、CVE-2021-31805)について、既存の防御機能によって防御できていることを確認しております。

※今後追加で情報が公開された場合は、再度対応を検討します。

Struts2の脆弱性の多くを汎用的に防御するScutum独自の「OGNLインジェクション防御機能」

Apache Struts2の脆弱性(S2-061、CVE-2020-17530)について

Apache Struts2について、新たな脆弱性(S2-061、CVE-2020-17530)が確認されており、JPCERT/CCからも注意喚起が行われています。

2020.12.09
Apache Struts 2 Wiki
Apache Struts2 の脆弱性 (S2-061) に関する注意喚起【2020/12/09 JPCERT/CC】

Scutum の対応

「Scutum」では、Apache Struts2 の新たな脆弱性(S2-061、CVE-2020-17530)について、既存の防御機能によって防御できていることを確認しております。

※今後追加で情報が公開された場合は、再度対応を検討します。

Struts2の脆弱性の多くを汎用的に防御するScutum独自の「OGNLインジェクション防御機能」

Apache Struts2の脆弱性(S2-060、CVE-2019-0233)について

Apache Struts2について、新たな脆弱性(S2-060、CVE-2019-0233)が確認されており、JPCERT/CCからも注意喚起が行われています。

2020.08.14
Apache Struts2 の脆弱性情報(S2-060)
Apache Struts2 の脆弱性 (S2-059、S2-060) に関する注意喚起【2020/08/14 JPCERT/CC】

Scutum の対応

Apache Struts2 の新たな脆弱性(S2-060、CVE-2019-0233)について、2020年8月14日午前(日本時間)に「Scutum」で防御が出来る状態に更新いたしました。

※今後追加で情報が公開された場合は、再度対応を検討します。

Apache Struts2の脆弱性(S2-059、CVE-2019-0230)について

Apache Struts2について、新たな脆弱性(S2-059、CVE-2019-0230)が確認されており、JPCERT/CCからも注意喚起が行われています

2020.08.14
Apache Struts2 の脆弱性情報(S2-059)
Apache Struts2 の脆弱性 (S2-059、S2-060) に関する注意喚起【2020/08/14 JPCERT/CC】

Scutum の対応

「Scutum」では、Apache Struts2 の新たな脆弱性(S2-059、CVE-2019-0230)について、既存の防御機能によって防御できていることを確認しております。

※今後追加で情報が公開された場合は、再度対応を検討します。

Struts2の脆弱性の多くを汎用的に防御するScutum独自の「OGNLインジェクション防御機能」

Apache Struts2 の脆弱性(S2-057、 CVE-2018-11776)について

2018.08.23

Apache Struts2に関して、新たに深刻な脆弱性「S2-057(CVE-2018-11776)」が確認されています。
この脆弱性が悪用されると、Apache Struts 2 が動作するサーバにおいて、特定の条件を満たす場合に、遠隔の攻撃者により任意のコードが実行される恐れがあります。
Apache Software Foundation は本脆弱性の深刻度を Critical と評価しており、JPCERT/CC および IPAからも危険度の高い脆弱性として注意喚起が行われております。

Apache Struts2 の脆弱性 (S2-057) に関する注意喚起【2018/08/23 JPCERT/CC】 Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057)【2018/08/23 IPA】

本脆弱性を悪用する攻撃コードが公開されており、これに対応するStruts2の修正済みバージョンへのアップデートが推奨されています。

Scutum の対応

WAF「Scutum」では、既存の汎用的なStruts2脆弱性対策機能「OGNLインジェクション防御機能」により、公開された攻撃コードについて本脆弱性公開前から防御できていることを確認しております。

Struts2の脆弱性の多くを汎用的に防御するScutum独自の「OGNLインジェクション防御機能」

Apache Struts2 の脆弱性(S2-052、CVE-2017-9805)について

2017.09.07

Apache Struts2に関して、新たに深刻な脆弱性「S2-052(CVE-2017-9805)」が確認されています。
この脆弱性が悪用されると、Struts2環境でRESTプラグインを使用している場合に、XMLリクエストの処理を利用してリモートで任意のコードが実行される恐れがあります。
JPCERT/CC および IPAからも、危険度の高い脆弱性として注意喚起が行われており、Scutumでも実際の攻撃を観測しております。

Apache Struts2 の脆弱性 (S2-052) に関する注意喚起【2017/09/06 JPCERT/CC】 Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052)【2017/09/06 IPA】

本脆弱性を悪用する攻撃コードが公開されており、これに対応するStruts2の修正済みバージョンへのアップデートが推奨されています。

Scutum の対応

WAF「Scutum」では、2017年9月6日午前(日本時間)の段階で、公開された攻撃コードについて防御できる状態に更新済みです。 今後、追加情報が公開された場合や、調査により新たな情報が判明した場合は、随時対応を検討してまいります。

日経BP社「すべてわかるセキュリティ大全2018」にて取材記事が掲載されました

2017.08

日経BP社「すべてわかるセキュリティ大全2018」(2017年7月刊)にて、Scutum技術チームのメンバー(ビットフォレスト取締役CTO 佐藤匡、同シニアマネージャー 野村真作)がStruts2の一連の脆弱性の背景を解説した取材記事が掲載されました。

『知るほどに怖くなる!?Struts2脆弱性のメカニズム』(記事初出:2017/05/12 ITPro)

Apache Struts2 の脆弱性(CVE-2017-9791、S2-048)について

2017.07.10

Apache Struts2 の新たな脆弱性が報告されております(CVE-2017-9791、S2-048)。
Sturts2でStruts1プラグインを使用している場合に、攻撃者がリモートで任意のコマンドを実行できる可能性があります。
本脆弱性に関して、JPCERTコーディネーションセンターからも注意喚起が行われています。

Apache Struts 2 の脆弱性 (S2-048) に関する注意喚起【2017.07.10 JPCERT/CC】

Scutum の対応

今回の脆弱性を狙った攻撃でも、過去のS2-045/S2-046等の脆弱性と同様、OGNLインジェクションの手法が利用されることとなります。WAF 「Scutum」では既にStruts2のOGNLインジェクションを幅広く防止する機能を実装しており、Scutumを経由した通信については本脆弱性の影響を受けることはありません。

参考:WAF Tech Blog 2017.06.01

【2017年3月】Apache Struts2 の脆弱性(CVE-2017-5638、S2-045、S2-046)について

2017.03.09

Apache Struts2 に新たな脆弱性が見つかっております(CVE-2017-5638、S2-045)。“Jakarta Multipart parser”のファイルアップロード処理が原因となり、リモートで任意のコードが実行される可能性があります。

本脆弱性に関して、IPA、JPCERTコーディネーションセンターからも注意喚起が行われており、この脆弱性を狙った実際の攻撃が多数報告されています。

Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)【2017.03.08 IPA】 Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起【2017.03.09 JPCERT/CC】
2017.03.21

上記に関連した脆弱性が追加報告されております(S2-046)。

Scutum の対応

2017.03.09

CVE-2017-5638、S2-045につき、WAF 「Scutum」では2017年3月8日の段階で、公開されていた攻撃コードについて既存のシグネチャで防御できていることを確認するとともに、それ以外の攻撃パターンに関しても検証を行い、Scutumを経由した通信については本脆弱性の影響を受けないことを確認済みです。

2017.03.21

S2-046についても、WAF「Scutum」で防御できる状態に更新いたしました。Scutumを経由した通信は、本脆弱性の影響を受けません。

Apache Struts2 の脆弱性に不安をお持ちのWebサイト/Webサーバ管理者の方は、お気軽にScutum推進室までご連絡ください。

株式会社セキュアスカイ・テクノロジー 「Scutum推進室
お問い合わせフォーム
TEL:03-3525-8045 (営業時間 平日10:00~18:00)
E-mail:info@scutum.jp

▼WAF「Scutum」は、新たな脆弱性や攻撃手法に対し、スピーディーな対応を続けています。

Spring Frameworkのリモートコード実行の脆弱性を利用した攻撃(CVE-2022-22965)への対応
Spring Cloud Function の脆弱性を利用した攻撃(CVE-2022-22963)への対応
Apache Log4j の脆弱性を利用した攻撃(CVE-2021-44228)への対応
Apache Tomcat の脆弱性を利用した攻撃(CVE-2020-9484)への対応
PHPのFastCGI Process Managerにおける脆弱性を利用した攻撃(CVE-2019-11043)への対応
Oracle WebLogic Server の脆弱性を利用した攻撃(CVE-2019-2725、CVE-2019-2729)への対応
Apache Struts2の脆弱性への対応
Scutumは OWASP Top10 2017 の全項目をカバーしています
WordPress の REST APIの脆弱性への対応
PHPMailerの脆弱性(CVE-2016-10033、CVE-2016-10045)への対応
意図しない「index_old.php」設置(2016/11/14注意喚起)による改ざんへの対応
bashの脆弱性(CVE-2014-6271/CVE-2014-7169、通称 ShellShock)への対応
hash DoSの脆弱性(CVE-2011-4885等)への対応
「キャプチャ認証追加機能」「SMS認証追加機能」について

【2016年6月】Apache Struts2 の脆弱性(CVE-2016-4438、S2-037)について

2016.06.22

2016年6月、Apache Struts2 に新たな脆弱性が見つかりました。攻撃者が細工したHTTPリクエストを送信することにより、Apache Struts 2 を使用したアプリケーションを実行中のサーバで任意のコードが実行される可能性があります。

本脆弱性に関して、JPCERTコーディネーションセンター、IPAからも注意喚起が行われています。

Apache Struts 2 の脆弱性 (S2-037) に関する注意喚起【2016.06.20 JPCERT/CC】 Apache Struts において任意のコードを実行可能な脆弱性【2016.06.20 JVN】 「Apache Struts」において任意のコードを実行可能な脆弱性対策について【2016.06.20 IPA】

Scutum の対応

WAF 「Scutum」 では、脆弱性情報の公開に先立つ2016年6月16日にすでに本脆弱性(CVE-2016-4438、S2-037)への対応を完了しております。
Scutumを経由した通信につきましては、本脆弱性を利用した攻撃の影響を受けることはございません。

【2016年4月】Apache Struts2 の脆弱性(CVE-2016-3081、S2-032)について

2016.04.28

2016年4月、Apache Struts2 に新たな脆弱性が見つかりました。この脆弱性を悪用されると、遠隔の第三者によってサーバ上で任意のコードを実行される可能性があります。

本脆弱性に関して、JPCERTコーディネーションセンター、IPAからも注意喚起が行われています。

Apache Struts 2 の脆弱性 (S2-032) に関する注意喚起 【2016.04.28 JPCERT/CC】 Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032) 【2016.04.27 IPA】

Scutum の対応

WAF 「Scutum」 では2016年4月27日にすでに本脆弱性(CVE-2016-3081、S2-032)への対応を完了しております。
Scutumを経由した通信につきましては、本脆弱性を利用した攻撃の影響を受けることはございません。

【2013年】Apache Struts の脆弱性について

Apache Struts に脆弱性が見つかっております。任意のOSコマンドが実行される攻撃を受ける可能性があります。

本脆弱性に関して、JPCERTコーディネーションセンターより以下の注意喚起が行われています。

Apache Struts の脆弱性 (S2-016) に関する注意喚起 【2013.07.19】

Scutum の対応

WAF 「Scutum」 ではすでに本脆弱性の対応を完了しております。
Scutumをご利用いただいているWEBサイトにつきましては、本脆弱性によって任意のOSコマンドが実行される攻撃を受ける可能性はございません。

参考情報

Scutum開発者による技術ブログ「WAF Tech Blog」では、本脆弱性を狙った攻撃について、Scutumで実際に観測・ブロックした実例をご紹介しております。

Apache Strutsの脆弱性(S2-016)を狙った攻撃の実例
【WAF Tech Blog 2013.08.05】