Apache Struts2の脆弱性(CVE-2016-3081/S2-032)に対する攻撃を確認

Tokyo SOCでは国内の複数の環境において、Apache Struts2の脆弱性(CVE-2016-3081/S2-032)を悪用する攻撃と考えられる通信が発生していることを確認しました

Apache Struts2の脆弱性(CVE-2016-3081/S2-032)は、Dynamic Method Invocation(DMI)に関連したものです
攻撃検証コードが既に公開されており、脆弱性を悪用する不正なリクエストが送られた場合にはシステム上で悪意あるコードが実行されたり、アプリケーションがクラッシュしたりする可能性があります。

TokyoSOCにおいて、2016年4月26日18時から5月5日19時までに本脆弱性を狙ったと考えられる攻撃検知数の推移を図1に示します

 Struts

 図1  Tokyo SOCにおけるApache Struts2の脆弱性(CVE-2016-3081/S2-032)に関連する検知数の推移

上記のグラフの通り、26日18時頃から本脆弱性を狙ったと考えられる通信を検知していることが分かります。
また、攻撃の送信元としては中国、アメリカなどが挙げられます。
Tokyo SOCでは引き続き本脆弱性に対する攻撃の動向を注視していきます。

本脆弱性の影響を受けるバージョンは下記の通りです

影響を受けるバージョン:
– Apache Struts 2.3.20 – 2.3.28
※ただし、Apache Struts 2.3.20.3および2.3.24.3では影響を受けませ

上記バージョンを利用している場合は、早急に下記の【対策】に記載の内容を実施することをお勧めいたします。

【対策】
1. DMIを使用していない場合は、無効化する
詳細は下記リンクをご参照ください。
Action Configuration
https://struts.apache.org/docs/action-configuration.html#ActionConfiguration-DynamicMethodInvocation

2. 修正済みバージョンへのアップデートを実施する
アップデート実施に当たっては、下記の情報などを参照いただき、必要なテストを行った上で実施をお願いいたします。

S2-032 – Apache Struts 2 Documentation – Apache Software Foundation
https://cwiki.apache.org/confluence/display/WW/S2-032

【参考情報】
[1] S2-032 – Apache Struts 2 Documentation – Apache Software Foundation
https://cwiki.apache.org/confluence/display/WW/S2-032

[2]Apache Struts Dynamic Method Invocation code execution Vulnerability Report
https://exchange.xforce.ibmcloud.com/vulnerabilities/112528

[3]Apache Struts2 Remote Code Execution
https://exchange.xforce.ibmcloud.com/collection/Apache-Struts2-Remote-Code-Execution-0901b4d5c6b43c368d5023ea66021dc4

More stories

Apache Struts2の脆弱性(S2-057/CVE-2018-11776)を狙う攻撃の動向について

2018年8月22日にApache Struts2の脆弱性(S2-057/CVE-2018-11776)が公開 […]

さらに読む

CODE BLUE2017に参加してきました

こんにちは。Tokyo SOC アナリストチームの柳です。 今回はいままでのblog記事とは趣向を変えて、20 […]

さらに読む

ランサムウェア「Bad Rabbit」の国内における検知状況について

10月24日より、「Bad Rabbit」と呼ばれるランサムウェアの感染がロシアやウクライナなどの地域を中心に […]

さらに読む