Akamai Diversity

Akamai Japan ブログ

Apache Struts2 の脆弱性(CVE-2018-11776)について

※ この文書は、CVE-2018-11776 に関するAkamai Blogの抄訳です。最新の情報については元ドキュメントをご参照ください。

8月22日水曜日、ApacheチームはApache Struts2フレームワークの新たな脆弱性を修正しました。 Apache Strutsは、Java Webアプリケーションを開発するためのオープンソースのWebアプリケーションフレームワークです。次の条件の両方を満たす場合にリモートで任意のコードが実行される脆弱性(CVE-2018-11776)が存在します。

  1. Strutsの設定で alwaysSelectFullNamespaceをtrueに設定している場合
  2. Struts設定ファイルにオプションのnamespace属性を指定しないか、ワイルドカードネームスペースを指定する"action"タグ、(または"url"タグ)が含まれている場合

影響を受けるバージョンは、 Apache Strutsフレームワークの Struts 2.3~Struts 2.3.34、および Struts 2.5~Struts 2.5.16です。影響を受けるバージョンを現在実行している場合、悪意のあるユーザーが、HTTP要求を介してカスタムネームスペースパラメータを注入することにより、システム上でコードをリモート実行できます。

このパラメータのユーザ指定値は、Strutsフレームワークによって十分に検証されていません。悪用を成功させるにはユーザーを認証する必要がありません。 Apacheはこの脆弱性を「可能なリモートコード実行」と分類しています。ただし、この脆弱性は悪用されやすく、Tomcatサーバーを実行しているアカウントのユーザーコンテキストを使用してコードを実行することができます。複数のワーキングエクスプロイトが公開されています。

この脆弱性の詳細については、Apacheのアドバイザリを参照してください。

https://cwiki.apache.org/confluence/display/WW/S2-057

この脆弱性のエクスプロイトは公開されており、脆弱性の悪用もすでに観測されています。

自らできる対策

Apacheチームは、Apache Strutsをバージョン2.3.35またはStruts 2.5.17にアップグレードすると、本脆弱性が修正されると示しています。また、(上記条件に該当する場合) 基本的な設定の中でいつも忘れずにnamespaceを設定しているが確認することを推奨しています。また、JSP内のすべての値(通常は忘れず設定する)、またはすべての'url'タグの値のアクションを設定していることを確認してください。どちらも上位アクションの設定でネームスペースがないか、ワイルドカードネームスペースの場合にのみ必要です。

 

アカマイによる防御

Kona Site Defender(KSD)のお客様は、Kona Rule Set(KRS)ルール 3000014を有効にすることによって。この脆弱性の悪用からWebサーバを保護することができます。すでに3000014を有効にされているお客様は、KRSのアップグレードを行うことなく、現状の状態で、Webサーバを攻撃から保護することができます。
Web Application Protector(WAP)コマンドインジェクション(CMDi)Protection Groupにより、この脆弱性の悪用からWebサーバーを保護できます。
KSDとWAPのそれぞれで、該当ルールとProtection GroupをそれぞれDENYモードにすることをお勧めします。

これらのルールについてご不明な点がございましたら、アカウントマネージャーまたは担当者にお気軽にお問い合わせください。

まとめ

サイトがApacheのStruts2フレームワークを利用していると、危険にさらされる可能性があります。これには、Strutsアプリケーションを使用するサイトからのサードパーティインクルージョンに依存するサイトが含まれます。あなたのウェブサイトのあらゆる側面にStruts2を使用していて、さらに知りたいのであれば、Apacheチームはここで脆弱性の詳細を公開しています:https://cwiki.apache.org/confluence/display/WW/S2-045


上記のように、システム管理者と所有者は、脆弱なStrutsインスタンスをできるだけ早く保護し、修正する必要があります。この脆弱性は悪用されやすく、その試みは過去数時間で劇的に増加しました。

Leave a comment