Last Updated on 2024-12-24 13:12 by admin
Apache Struts 2に重大な脆弱性(CVE-2024-53677、CVSS 9.5)が発見され、2024年12月20日に公開された。この脆弱性は、File Upload Interceptorコンポーネントに存在し、パストラバーサルを通じたリモートコード実行(RCE)を可能にするもので、すでに活発な攻撃が確認されている。
この問題は2023年12月に発見された脆弱性(CVE-2023-50164、CVSS 9.8)の再発であり、SANS InstituteのJohannes Ullrich博士によって、公開された概念実証(PoC)を使用した攻撃の試みが観察されている。
影響を受けるバージョン:
- Apache Struts 2の6.7.0未満のすべてのバージョン
対策として必要な作業:
- Struts 6.7.0または6.4.0へのアップグレード
- File Upload InterceptorからAction File Upload Interceptorへの移行
- アプリケーションコードの書き換え
影響範囲:
- Qualys社の調査で24時間以内に数万の脆弱なインスタンスを確認
- 特に金融、保険、政府機関、製造業、物流分野のレガシーシステムに影響
オーストラリア、ベルギー、カナダ、シンガポール、英国のサイバーセキュリティ機関が緊急警告を発表している。VeracodeのチーフセキュリティエバンジェリストであるChris Wysopal氏は、この脆弱性の悪用が数週間続く可能性を指摘している。
from:Orgs Scramble to Fix Actively Exploited Bug in Apache Struts 2
【編集部解説】
まず、この脆弱性の重要性について説明させていただきます。Apache Struts 2は、2000年代に最も人気のあったJavaウェブフレームワークの一つでした。現在でも多くの重要なシステムで使用され続けているため、今回の脆弱性は深刻な影響をもたらす可能性があります。
特に注目すべき点は、この脆弱性が昨年のCVE-2023-50164の不完全な修正から再発したと考えられていることです。これは、レガシーシステムの保守における重要な課題を浮き彫りにしています。
今回の脆弱性が特に危険なのは、すでに攻撃コードが公開され、実際の攻撃が確認されているためです。SANS InstituteのJohannes Ullrich博士の観察によると、攻撃者たちは脆弱なシステムを特定するための偵察活動を開始しています。
この問題の修正には単純なパッチ適用以上の対応が必要です。開発者はコードを書き直し、新しいAction File Upload機構に移行する必要があります。これは多くの組織にとって大きな負担となるでしょう。
特に日本の金融機関や政府機関のシステムには、Apache Strutsを使用している古いシステムが多く存在すると考えられます。2017年のEquifax事件でも明らかになったように、適切な対応を怠ると深刻なデータ漏洩につながる可能性があります。
Qualysの調査によると、脆弱性の公開から24時間以内に数万の影響を受けるインスタンスが確認されています。これは、問題の規模がかなり大きいことを示しています。
今後の展望と対策
この事例は、レガシーシステムの近代化とセキュリティ対策の重要性を改めて示しています。特に金融、保険、政府機関などの重要インフラでは、システムの更新が困難であることが多く、それが新たなセキュリティリスクを生み出しています。
組織は以下の対策を検討する必要があります:
- 短期的には、Struts 6.4.0以降へのアップグレードと、新しいファイルアップロード機構への移行
- 中長期的には、レガシーシステムの段階的な刷新と、より現代的なフレームワークへの移行計画の策定
- セキュリティ監視体制の強化と、インシデント対応計画の見直し
このような事例は、技術的負債の解消が企業の重要な経営課題であることを示しています。今後は、システムの保守性とセキュリティを考慮した設計がより重要になってくるでしょう。
【用語解説】
【参考リンク】
【編集者追記:2017年のEquifax事件】
2017年のEquifax事件は、米国の大手信用情報機関であるEquifaxで発生した大規模なデータ侵害事件です。
事件の概要
Apache Strutsの脆弱性を悪用され、約1億4,800万人分の個人情報が流出しました。流出した情報には氏名、生年月日、社会保障番号、運転免許証番号などが含まれていました。
侵害の経緯
2017年3月7日にApache Strutsの脆弱性が公開され、翌日にEquifaxは通知を受けましたが、パッチ適用を怠りました。5月13日から7月29日までの76日間にわたり、攻撃者はシステムに侵入し続け、大量の個人情報を窃取しました。
発見と影響
期限切れのSSL証明書を更新した際に不審な通信が発見され、事態が発覚しました。この事件により、Equifaxは約3億ドルの賠償金支払いを余儀なくされ、CEOを含む複数の幹部が辞任する事態となりました。
この事件は、適切なセキュリティパッチ管理の重要性と、重要なシステムの監視体制の必要性を示す代表的な事例となっています。