ニュース
» 2018年08月30日 08時00分 公開

任意のコードが実行される恐れ:「Apache Struts 2」の新たな脆弱性を悪用するPoCコード、セキュリティ企業が発見

2018年8月24日に発表されたばかりの「Apache Struts 2」の脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードが見つかった。

[@IT]

 広く普及したオープンソースのWebアプリケーションフレームワーク「Apache Struts 2」で発表されたばかりの脆弱(ぜいじゃく)性を悪用するPoC(概念実証)コードを、セキュリティ研究者が発見した。これを受け、スロバキアのセキュリティ企業ESETが公式ブログに解説記事を掲載。以下、内容を抄訳する。

 このPoCコードは、脅威インテリジェンス企業Recorded Futureがソフトウェア開発プラットフォーム「GitHub」で発見した。同社によると、このPoCコードには、「問題の脆弱性を簡単に悪用できるPythonスクリプト」が含まれる。さらに、同社はアンダーグラウンドフォーラムで、この脆弱性の悪用に関するやりとりも発見したという。

 Recorded Futureは、PoCコードの発見を2018年8月24日(米国時間)に発表した。これはApache Software Foundation(ASF)がApache Struts 2の脆弱性を発表し、これを修正するアップデートを公開したわずか2日後だ。ASFの発表によると、この脆弱性は、リモートからのコード実行(RCE)に悪用される恐れがある重大なもの。ソフトウェア分析企業Semmleが2018年4月に発見し、ASFに報告していた脆弱性だ。

 ASFのアドバイザリによると、この脆弱性「CVE-2018-11776」は、サポートされている全てのバージョンのApache Struts 2(バージョン2.3〜2.3.34、バージョン2.5〜2.5.16)に影響する。サポートされていないバージョンにも影響する可能性がある。

 ASFはユーザーに、この脆弱性を修正するアップデートをできるだけ早く適用し、バージョン2.3.35または2.5.17へとアップグレードすることを勧めている。Semmleによると、同様の重大な脆弱性の発表から1日もたたないうちに悪用コードが公開された結果、重要なインフラや顧客データが危険にさらされたことがあるという。

 問題の脆弱性は、ユーザーの入力データを十分に検証していないことに起因している。攻撃者がその悪用に成功すると、Apache Struts 2の脆弱なバージョンが動作するサーバ上で、任意のコードを実行できるようになる。

 Apache Struts 2は、Fortune 100企業の3分の2で使われていると推定されている。

【訂正:2018年8月30日午後17時00分】
本文末尾でEquifaxの事例について言及した部分に誤りがありました。今回の脆弱性はEquifaxとは無関係であるため、この部分を削除いたしました。お詫びして訂正いたします。上記記事は既に修正済みです(編集部)。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。