Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行：セキュリティクラスタ まとめのまとめ 2017年3月版（1/4 ページ）

　2017年3月のセキュリティクラスタは大騒ぎ。誰でも簡単に外部からサーバコマンドを実行できる「Apache Struts 2」の脆弱性が公表されたことが原因です。案の定、この脆弱性を使用している多数のWebサイトが攻撃を受けてしまいました。1月に話題となった「東京都税 クレジットカードお支払サイト」と2度目の被害となった「JINS」の被害が特に大きく、たくさんの人が興味を持ち、ツイートしていました。

　Symantecの発行するSSL証明書をGoogleが信頼しなくなるかもしれないというニュースの後、本当にChromeのEV SSL証明書の組織名が表示されなくなったことも話題となりました。

Struts 2の脆弱性（S2-045/S2-046）が公表されて大騒ぎ

　日本の多くのWebサイトにおいて使用されているWebアプリケーションフレームワークの「Apache Struts」。過去に何度も大きな脆弱性が見つかって、そのたびにたくさんのエンジニアが対応に追われている様子や攻撃を試した結果がツイートされていました。そんなStruts、3月7日にまたまた大きな脆弱性が公開されてしまいます。

　発見された「S2-045」とは、Apache Strutsのバージョン2（以下Struts 2）で使うOGNL（Object-Graph Navigation Language）という動的な処理を行う言語をHTTPリクエストヘッダに含めることで、これがそのまま実行されてしまうという脆弱性です。OGNLによってサーバ内の任意のコードが実行できるため、修正を行わなければ誰でも外部からサーバ内の任意のコードが実行できるという、非常に危険なものでした。なお、OGNLはStruts 2のみで使用されているためStrutsのバージョン1では今回の脆弱性は確実に実行できないようです。

　公表されたと同時にPoC（概念実証コード）が公開されており、タイムライン（TL）でも筆者を含めて試してみた人が多く見られました。2月に公表されたWordPressの脆弱性も簡単に追試できました。それと同じように単純なものなのに、ページを書き換えられるだけにすぎなかったWordPressの脆弱性に比べて攻撃できる内容が段違い。攻撃される前に恐れをなしてサービスを停止したWebサイトも現れました。さらに似たような脆弱性「S02-046」も公開され、中途半端な対応を行っていた組織は再度対応に追われていました。

　TLで試した人と同じように攻撃者もこの脆弱性を狙った攻撃を行い、たくさんのサイトが侵入を受けていたことが徐々に明らかになっています。WordPress 4.7.1のときとは違いページの書き換えなんて目立つことは行わずに、個人情報をたくさん盗んでいったようです。

　情報が公開されてから、かなり早い段階で被害に遭っていることから、これまでのように脆弱性の公開後、いったんテスト環境で試してパッチを当て、正常動作を確認してから本番環境に移すというような運用形態では間に合わないのではないか、という意見も出ていました。