セキュリティー・インテリジェンス

Apache Struts2の脆弱性(CVE-2016-3081/S2-032)に対する攻撃を確認

記事をシェアする:

Tokyo SOCでは国内の複数の環境において、Apache Struts2の脆弱性(CVE-2016-3081/S2-032)を悪用する攻撃と考えられる通信が発生していることを確認しました。

Apache Struts2の脆弱性(CVE-2016-3081/S2-032)は、Dynamic Method Invocation(DMI)に関連したものです。
攻撃検証コードが既に公開されており、脆弱性を悪用する不正なリクエストが送られた場合にはシステム上で悪意あるコードが実行されたり、アプリケーションがクラッシュしたりする可能性があります。

TokyoSOCにおいて、2016年4月26日18時から5月5日19時までに本脆弱性を狙ったと考えられる攻撃検知数の推移を図1に示します。

図1  Tokyo SOCにおけるApache Struts2の脆弱性(CVE-2016-3081/S2-032)に関連する検知数の推移
図1 Tokyo SOCにおけるApache Struts2の脆弱性(CVE-2016-3081/S2-032)に関連する検知数の推移

上記のグラフの通り、26日18時頃から本脆弱性を狙ったと考えられる通信を検知していることが分かります。
また、攻撃の送信元としては中国、アメリカなどが挙げられます。
Tokyo SOCでは引き続き本脆弱性に対する攻撃の動向を注視していきます。

本脆弱性の影響を受けるバージョンは下記の通りです。

影響を受けるバージョン:
– Apache Struts 2.3.20 – 2.3.28
※ただし、Apache Struts 2.3.20.3および2.3.24.3では影響を受けません

上記バージョンを利用している場合は、早急に下記の【対策】に記載の内容を実施することをお勧めいたします。

【対策】
1. DMIを使用していない場合は、無効化する
詳細は下記リンクをご参照ください。
Action Configuration
https://struts.apache.org/core-developers/action-configuration#dynamic-method-invocation

2. 修正済みバージョンへのアップデートを実施する
アップデート実施に当たっては、下記の情報などを参照いただき、必要なテストを行った上で実施をお願いいたします。
S2-032 – Apache Struts 2 Documentation – Apache Software Foundation
https://cwiki.apache.org/confluence/display/WW/S2-032

【参考情報】
[1] S2-032 – Apache Struts 2 Documentation – Apache Software Foundation
https://cwiki.apache.org/confluence/display/WW/S2-032

[2]Apache Struts Dynamic Method Invocation code execution Vulnerability Report
https://exchange.xforce.ibmcloud.com/vulnerabilities/112528

[3]Apache Struts2 Remote Code Execution
https://exchange.xforce.ibmcloud.com/collection/Apache-Struts2-Remote-Code-Execution-0901b4d5c6b43c368d5023ea66021dc4

 

【著者情報】


猪股 秀樹の写真

猪股 秀樹

2000年インターネットセキュリティシステムズ株式会社入社。セキュリティー診断やIDS/IPSの導入プロジェクト、セキュリティー・コンサルティングなどさまざまなプロジェクトを手がける。2007年買収に伴い日本IBMに移籍。2012年よりセキュリティー・オペレーション・センターのチーフ・セキュリティー・アナリスト。


More stories
2020-01-08

【オンデマンドWebセミナー】IBM Securityで実現するハイブリッド・クラウド時代のセキュリティーセミナー

オンデマンドWebセミナーのご案内 IBM Securityで実現するハイブリッド・クラウド時代のセキュリティ […]

さらに読む

2019-12-26

【オンデマンドWebセミナー】IBM Cloud Pak for Securityで加速するハイブリッド・マルチクラウド時代のSOC オペレーション

オンデマンドWebセミナーのご案内 IBM Cloud Pak for Securityで加速するハイブリッド […]

さらに読む

2019-11-28

Emotet(エモテット)、約2カ月の沈黙を経て再び猛威を振るう・・対策は?

  2019年9月に、ポーランド語、ドイツ語のユーザーをターゲットとしたマルウェアが添付されたスパム […]

さらに読む