NRIセキュアテクノロジーズ

Home > NCSIRTアドバイザリ > Apache Strutsソフトウェアの脆弱性を利用した攻撃の危険性

NCSIRTアドバイザリ

Apache Strutsソフトウェアの脆弱性を利用した攻撃の危険性

  1. 概要

    2011/9/5に、Webシステムのフレームワークとして利用されているApache Struts 2.2.3.0以下に、「リモートから任意のコマンドを実行できる脆弱性 ※1」が発見され、修正情報がリリースされています。NRIセキュアでは、本脆弱性の認識と対応が適切に行われていない状況に鑑み、対策を促す目的で検証結果を公表します。

    なお、2010/8/17に、今回の脆弱性に類似した、リモートから任意のコマンドを実行できる脆弱性「CVE-2010-1870 ※2,3」が公表されていますが、同様の事象を発生させるものの、今回公表のものとは別の問題ですので、注意してください。

    ※1 http://struts.apache.org/2.x/docs/s2-007.html 外部リンク
    ※2 http://struts.apache.org/2.2.1/docs/s2-005.html 外部リンク
    ※3 http://pwnies.com/archive/2010/winners/ 外部リンク

    WEBを閲覧できる利用者は、この脆弱性を悪用することにより、Webサーバ上で不正なプログラムの実行、Webサーバの乗っ取り、フィッシングサイトへの改造、ホームページの改ざん、サービス妨害等を実施できる可能性があります。

    本脆弱性の危険性に鑑み、すみやかに以下に示す対策を実施することをお勧めします。

  2. 脆弱性検証

    前回の脆弱性「CVE-2010-1870」では、XWorkのParametersInterceptorに問題がありました。URLのパラメータに、複数のOGNL(Object Graph Navigation Language)式で表現したコマンドを指定することで、リモートから任意のコマンド実行が可能でした。この攻撃手法の詳細は、セキュリティ研究者によりインターネット上に公開されています。

    今回の脆弱性では、攻撃の実現方法は前回のものと異なります。具体的には、数値型のフィールドの値にOGNL式を入力してWEBアプリケーションに値を送信することで、入力値を数値型へ変換する処理にてエラーを発生させ、OGNLで表現された任意のコマンドを実行する手法です。

    NRIセキュアでは、本脆弱性を悪用することにより、外部からWebサーバに対する任意のコマンド実行が可能であることを検証しました。また、特定のデータ(セッション情報)を改ざんすることで、他のユーザへのなりすまし等も可能でした。

    Apache Strutsソフトウェアの脆弱性を利用した攻撃
  3. 対策内容
    1. 対象製品
      Struts 2.0.0.0〜2.2.3.0
    2. 対策方法

      以下のサイトより、Struts 2.2.3.1以上へバージョンアップ
      http://struts.apache.org/download.cgi#struts2231 外部リンク

      または、WAFに今回の攻撃のシグニチャを適用して攻撃をブロック
      ・WAF管理サービスについては以下をご覧ください。
      http://www.nri-secure.co.jp/service/mss/wafmanage.html

  4. 当社の提供するサービスにおける対応

    NRIセキュアでは、当社の提供するサービスに対し、WAFやIDS/IPSの独自シグニチャを作成して適用作業を完了しています。

2011年12月20日 NCSIRT、ソリューション開発部、アセスメントチーム

NCSIRTアドバイザリ一覧へ

PAGE TOP
お問い合わせ / 資料請求

ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。

お問い合わせ 資料請求


このページを印刷