最近明らかになった、Apache Struts 2 のリモート コード実行 (RCE) の重大な脆弱性に対して懸念が高まっており、攻撃者はここ数日間、この脆弱性を積極的に悪用しています。
Apache Struts は、Java アプリケーションを構築するために広く使用されているオープン ソース フレームワークです。 開発者はこれを使用して、Model-View-Controller (MVC) アーキテクチャと呼ばれるモジュラー Web アプリケーションを構築できます。 Apache ソフトウェア財団 (ASF) バグを公開した 7月9.8日に、CVSSスケールで10点中XNUMX点という最大に近い重大度評価を与えた。 脆弱性は次のように追跡されます CVE-2023-50164 これは、Struts がファイル アップロードのパラメータを処理する方法に関係しており、影響を受けるシステムを完全に制御する方法を攻撃者に提供します。
Java アプリに影響を与える広く蔓延しているセキュリティ問題
この欠陥は、その蔓延性、リモートで実行可能であること、概念実証のエクスプロイト コードが公開されていることから、かなりの懸念を引き起こしています。 先週の欠陥の公開以来、複数のベンダー、および次のような団体が シャドウサーバー — この欠陥をターゲットとした悪用活動の兆候が見られると報告しています。
ASF 自体は、Apache Struts が 500 年以上存在しているという事実から、Apache Struts には「巨大なユーザー ベース」があると述べています。 セキュリティ専門家らは、Apache Struts をベースにしたアプリケーションが世界中に数千あると推定しています。これには、多くのフォーチュン XNUMX 企業や政府機関や重要インフラ部門の組織で使用されているアプリケーションも含まれます。
多くのベンダー テクノロジーには Apache Struts 2 も組み込まれています。 たとえばシスコは、 現在調査中 バグの影響を受ける可能性のあるすべての製品を対象とし、必要に応じて追加情報やアップデートをリリースする予定です。 調査対象となっている製品には、シスコのネットワーク管理およびプロビジョニング テクノロジー、音声およびユニファイド コミュニケーション製品、顧客コラボレーション プラットフォームが含まれます。
この脆弱性は、Struts バージョン 2.5.0 ~ 2.5.32 および Struts バージョン 6.0.0 ~ 6.3.0 に影響します。 このバグは、現在サポートが終了している Struts バージョン 2.0.0 から Struts 2.3.37 にも存在します。
ASF、セキュリティ ベンダー、および 米国サイバーセキュリティおよび情報セキュリティ庁 (CISA) は、このソフトウェアを使用している組織に対し、Struts バージョン 2.5.33 または Struts 6.3.0.2 以降に直ちに更新することを推奨しています。 ASF によると、この脆弱性に対して利用可能な緩和策はありません。
近年、研究者は Struts の多数の欠陥を発見しました。 それらの中で最も重要だったのは言うまでもなく、 CVE-2017-5638 2017 年には、数千の組織に影響を及ぼし、Equifax での侵害が可能になり、143 億 XNUMX 万人もの米国の消費者に属する機密データが流出しました。 このバグは実際にはまだ浮遊しています - 発見されたばかりのを使用したキャンペーン NKAbuse ブロックチェーン マルウェア、 たとえば、初期アクセスに悪用されています。
Apache Struts 2 の危険なバグ、しかし悪用は困難
今週新たな Apache Struts の脆弱性を分析したトレンドマイクロの研究者 危険だがかなり難しいと説明した スキャンと悪用の問題に過ぎなかった 2017 年のバグよりも大規模に悪用される可能性がありました。
「CVE-2023-50164 の脆弱性は、この脆弱性を悪用して悪意のある活動を実行するさまざまな攻撃者によって広く悪用され続けており、世界中の組織にとって重大なセキュリティ リスクになっています」とトレンドマイクロの研究者は述べています。
この欠陥は基本的に、攻撃者がファイルアップロードパラメータを操作してパストラバーサルを可能にするもので、「これにより悪意のあるファイルがアップロードされ、リモートでコードが実行される可能性がある」と彼らは指摘している。
この欠陥を悪用するには、攻撃者はまず脆弱な Apache Struts バージョンを使用している Web サイトまたは Web アプリケーションをスキャンして特定する必要があるとアカマイは記事で述べています。 脅威の分析をまとめたレポート 今週。 次に、特別に作成したリクエストを送信して、脆弱なサイトまたは Web アプリにファイルをアップロードする必要があります。 このリクエストには、脆弱なシステムが攻撃によってアクセスできる場所またはディレクトリにファイルを配置し、影響を受けるシステム上で悪意のあるコードの実行を引き起こす隠しコマンドが含まれています。
「悪意のあるマルチパート ファイルのアップロードを可能にするために、Web アプリケーションには特定のアクションが実装されている必要があります」と、Akamai の上級セキュリティ研究者である Sam Tinklenberg 氏は述べています。 「これがデフォルトで有効になるかどうかは、Struts 2 の実装によって異なります。これまでに確認した限り、これはデフォルトで有効ではない可能性が高いです。」
CVE-2023-50164 の XNUMX つの PoC エクスプロイト亜種
Akamai によると、これまでのところ、公開された PoC を使用した CVE-2023-50164 をターゲットとした攻撃と、元の PoC の亜種と思われるものを使用した別の一連の攻撃活動が確認されています。
「この XNUMX つの攻撃の悪用メカニズムは同じです」とティンクレンバーグ氏は言います。 「ただし、異なる項目は、悪用の試みで使用されたエンドポイントとパラメータです。」
攻撃者が脆弱性を悪用するための要件は、実装によって大きく異なる可能性があるとティンクレンバーグ氏は付け加えた。 これには、脆弱なアプリでファイル アップロード機能を有効にし、認証されていないユーザーがファイルをアップロードできるようにする必要性が含まれます。 脆弱なアプリが不正なユーザーのアップロードを許可しない場合、攻撃者は他の手段で認証と認可を取得する必要があります。 同氏によると、攻撃者は脆弱なファイルのアップロード機能を使用してエンドポイントを特定する必要があるという。
Apache Struts のこの脆弱性は、以前の欠陥に比べて大規模な悪用が容易ではないかもしれませんが、このように広く採用されているフレームワークにこの脆弱性が存在することは、確かに重大なセキュリティ上の懸念を引き起こすと、Qualys の脆弱性および脅威研究マネージャーである Saeed Abbasi 氏は述べています。
「この特定の脆弱性は、その複雑さと悪用に必要な特定の条件により際立っており、広範な攻撃を困難にしながらも可能にしています」と彼は指摘します。 「Apache Struts がさまざまな重要なシステムに広範に統合されていることを考えると、標的型攻撃の可能性を過小評価することはできません。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- :持っている
- :は
- :not
- :どこ
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- 虐待
- アクセス
- 従った
- 行動
- 積極的に
- 活動
- アクティビティ
- 俳優
- 実際に
- NEW
- 追加情報
- 追加
- 採択
- 影響を受けました
- 影響
- すべて
- 許す
- ことができます
- また
- an
- 分析
- 分析
- および
- 別の
- アパッチ
- アプリ
- 登場する
- 申し込み
- 建築
- です
- 周りに
- AS
- ASF
- At
- 攻撃
- 攻撃
- 試み
- 認証
- 承認
- 利用できます
- ベース
- ベース
- 基本的に
- BE
- なぜなら
- き
- 所属
- の間に
- ブロックチェーン
- 違反
- バグ
- ビルド
- 建物
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- キャンペーン
- 缶
- 原因となる
- 一定
- 確かに
- Cisco
- コード
- 環境、テクノロジーを推奨
- 通信部
- 企業
- 比べ
- コンプリート
- 複雑さ
- 懸念
- 懸念事項
- 条件
- かなりの
- 消費者
- 含む
- 続ける
- コントロール
- 可能性
- 細工された
- 重大な
- 重要インフラ
- 顧客
- サイバーセキュリティ
- 危険な
- データ
- 日
- 12月
- 数十年
- デフォルト
- 依存
- 記載された
- 開発者
- 異なる
- 難しい
- 開示
- do
- ありません
- 原因
- 簡単に
- enable
- 使用可能
- 有効にする
- エンドポイント
- エンティティ
- エクイファックス
- 推定
- 実行
- 専門家
- 悪用する
- 搾取
- 搾取
- 悪用
- 露出した
- 広範囲
- 実際
- 遠く
- 少数の
- File
- 名
- 欠陥
- 欠陥
- floating
- フォーチュン
- Foundation
- フレームワーク
- から
- function
- 利得
- 与えた
- 与えられた
- 与える
- 政府・公共機関
- 大きい
- ハンドル
- ハード
- 持ってる
- 持って
- he
- 隠されました
- ハイ
- 認定条件
- しかしながら
- HTML
- HTTPS
- 巨大な
- 識別する
- if
- 直ちに
- 実装
- 実装
- in
- include
- 含めて
- 組み込む
- 情報
- 情報セキュリティー
- インフラ関連事業
- 初期
- 統合
- 問題
- IT
- リーディングシート
- ITS
- 自体
- Java
- JPG
- 既知の
- 大
- 姓
- 可能性が高い
- 少し
- 場所
- 作成
- マルウェア
- 管理
- マネージャー
- 多くの
- 手段
- メカニズム
- マイクロ
- かもしれない
- 百万
- モジュラー
- 他には?
- 最も
- の試合に
- しなければなりません
- 近く
- 必要
- 必要とされる
- ネットワーク
- 新作
- ニスト
- いいえ
- 注意
- ノート
- 今
- 多数の
- of
- on
- 開いた
- オープンソース
- or
- 組織
- オリジナル
- その他
- でる
- が
- パラメーター
- パラメータ
- 特定の
- 過去
- パッチ
- path
- 実行する
- 場所
- プラン
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- PoC
- 可能
- 潜在的な
- :
- プレゼンス
- 現在
- 流行している
- 前
- 製品
- 公然と
- 提起
- 範囲
- 評価
- すぐに
- 最近
- 最近
- 推奨される
- リリース
- リリース
- リモート
- リモートから
- 報告
- 要求
- の提出が必要です
- 要件
- 研究
- 研究者
- 研究者
- 結果
- リスク
- s
- 前記
- サム
- 同じ
- 言う
- 規模
- スキャン
- 精査
- セクター
- セキュリティ
- 見ること
- 見て
- 送信
- シニア
- 敏感な
- セッションに
- セット
- 重要
- 著しく
- サイン
- から
- ウェブサイト
- So
- これまでのところ
- ソフトウェア
- 何か
- ソース
- 特別に
- 特定の
- 驚異的な
- スタンド
- まだ
- 首尾よく
- そのような
- システム
- 対象となります
- ターゲット
- テクノロジー
- より
- それ
- それら
- その後
- そこ。
- ボーマン
- 彼ら
- この
- 今週
- それらの
- 数千
- 脅威
- 脅威アクター
- 〜へ
- トレンド
- トリガー
- 2
- 無許可
- 下
- 統一
- アップデイト
- 更新版
- アップロード
- us
- つかいます
- 中古
- ユーザー
- バリアント
- さまざまな
- ベンダー
- ベンダー
- バージョン
- バージョン
- 、
- ボイス
- 脆弱性
- 脆弱な
- ました
- 仕方..
- we
- ウェブ
- ウェブアプリケーション
- Webアプリケーション
- ウェブサイト
- 週間
- WELL
- この試験は
- 何ですか
- いつ
- かどうか
- which
- 誰
- ワイド
- 広い範囲
- 広く
- 広範囲
- でしょう
- 年
- ゼファーネット