Apache

CVE-2024-53677として追跡されている、最近パッチが適用されたApache Struts 2の重大な脆弱性が、脆弱なデバイスを見つけるために公開されている概念実証のエクスプロイトを使用して活発に悪用されている。

Apache Strutsは、政府機関、電子商取引プラットフォーム、金融機関、航空会社など、さまざまな組織で使用されているJavaベースのWebアプリケーションを構築するためのオープンソースのフレームワークである。

Apacheは6日前、Strutsの欠陥CVE-2024-53677(CVSS 4.0スコア:9.5、「クリティカル」)を公開し、ソフトウェアのファイルアップロードロジックにバグがあり、パスのトラバーサルや悪意のあるファイルのアップロードが可能で、リモートでコードが実行される可能性があるとしている。

Struts 2.0.0から2.3.37(サポート終了)、2.5.0から2.5.33、6.0.0から6.3.0.2が影響を受ける。

「攻撃者は、ファイルアップロードパラメータを操作してパストラバーサルを可能にすることができ、状況によっては、リモートコード実行に使用可能な悪意のあるファイルをアップロードすることにつながる可能性がある

要するに、CVE-2024-53677は、攻撃者がウェブシェルのような危険なファイルを制限されたディレクターにアップロードし、リモートでコマンドを実行し、さらにペイロードをダウンロードし、データを盗むために使用することを可能にする。

この脆弱性はCVE-2023-50164と類似しており、過去にプロジェクトを悩ませたことのある不完全な修正により、同じ問題が再浮上したのではないかと推測されている。

ISC SANSのリサーチャーであるJohannes Ullrich氏は、一般に公開されているエクスプロイトを使用しているか、少なくともそれに大きくインスパイアされていると思われるエクスプロイトの試みを目にしていると報告している。

「我々は、PoCのエクスプロイトコードと一致する、この脆弱性に対するアクティブなエクスプロイトの試みを目にしている。現時点では、エクスプロイトの試みは脆弱なシステムの列挙を試みている。

攻撃者は、”Apache Struts “文字列を表示する1行のコードを含む “exploit.jsp “ファイルをアップロードするエクスプロイトを使用して、脆弱なシステムを列挙している。

その後、エクスプロイターはスクリプトにアクセスし、サーバーがエクスプロイトに成功したことを確認しようとする。Ullrich氏によると、この悪用は169.150.226.162という1つのIPアドレスからのみ検出されているという。

リスクを軽減するために、Apacheによれば、ユーザーはStruts 6.4.0以降にアップグレードし、新しいファイルアップロード機構に移行する必要がある。

Strutsアプリケーションでファイルアップロードを処理するコードは、新しいAction File Uploadメカニズムを実装するために書き直す必要があるため、単にパッチを適用するだけでは十分ではない。

「新しいAction File Uploadメカニズムと関連するインターセプターを使い始めるためにアクションを書き直す必要があるため、この変更は後方互換性がありません。

「古いファイルアップロードの仕組みを使い続けることは、この攻撃に対して脆弱なままです。

積極的な悪用が進行中であるため、カナダオーストラリアベルギーを含む複数の国のサイバーセキュリティ機関は、影響を受けるソフトウェア開発者に早急な対策を講じるよう求める公開警告を発表した。

ちょうど1年前、ハッカーは、脆弱なStrutsサーバーを攻撃し、リモートコード実行を達成するために、公開されているエクスプロイトを活用した。