ニュース

Apache Struts 2の脆弱性を標的とするアクセスが増加、攻撃の成功例も確認

 ウェブアプリケーションフレームワーク「Apache Struts 2」の脆弱性を標的としたアクセスが26日午後より増加している。影響を受けるバージョンは、Apache Struts 2.3.20~2.3.28(2.3.20.3、2.3.24.3を除く)。

 今回標的となっているのは、Apache Struts 2のDynamic Method Invocation(DMI)と呼ばれる機能にある脆弱性「S2-032」「CVE-2016-3081」。21日に開発元であるThe Apache Software Foundationから公表されていた。攻撃者が細工したHTTPリクエストを送信することで、リモートから任意のコードを実行させることが可能だという。

 警察庁では、定点観測システムで27日2時以降、この脆弱性を標的とするアクセスを観測。その後も増加しているとのこと。

Apache Struts 2の脆弱性探索が目的と考えられるアクセス件数の推移(警察庁のPDFより転載)
観測したリクエストの冒頭

 株式会社ラックが運営するセキュリティ監視センター「JSOC」でも、この脆弱性を悪用した攻撃が26日午後より増加しており、27日には攻撃が成功した事案を確認したという。

 サーバーに「struts2-core-X.X.X.jar」というファイルがあれば、Apache Struts 2が稼働している可能性があり、“X.X.X”の部分が動作しているApache Struts 2のバージョンを示している。また、設定ファイル「struts.xml」内に「<constant name="struts.enable.DynamicMethodInvocation" value="true" />」という記述があれば、脆弱性の存在するDMI機能が有効になっているとのことだ。

JSOCインシデント通知件数の推移
攻撃の成功例(/etc/passwd参照)

 警察庁やJPCERT/CCなどでは、19日から提供が開始されている最新バージョンへの速やかなアップデートを推奨している。アップデートが難しい場合には、DMI機能を無効にすれば回避できる。Apache Struts 2.3.15.2以降では、DMIはデフォルトで無効となっている。

 該当バージョンの Apache Struts 2 を利用している場合、既に脆弱性を悪用した攻撃を受けている可能性も考慮して、サーバーの動作状況や不審ファイルの有無を確認することもあわせて推奨されている。

(岩崎 宰守)