CVE-2017-9805 (S2-052) - 脆弱性調査レポート

  • 本文プリント

Apache Struts 2のStruts RESTプラグインの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9805)(S2-052)に関する調査レポート

  • 2017年9月8日

概要

Apache Struts 2のStruts RESTプラグインに、リモートより任意のコードが実行可能な脆弱性(CVE-2017-9805)(S2-052)及び、その脆弱性を利用する攻撃コードが発見されました。
本脆弱性は、Struts RESTプラグインがXMLリクエストを処理する際の不具合に起因する脆弱性で、この脆弱性を利用した攻撃が成立した場合、リモートから、Apache Struts2が配置されたWebアプリケーションサーバーの実行権限で任意のコードを実行される危険性があります。

本レポート作成(2017年9月8日)時点において、Apache Software Foundationよりこの脆弱性が修正されたバージョンがリリースされております(Apache Struts 2.5.3は2017年9月5日付、Apache Struts 2.3.34は2017年9月7日付(ともに米国時間))。しかしながら、攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2017-9805)(S2-052)の再現性について検証を行いました。

影響を受ける可能性があるシステム

  • Apache Struts 2.1.2から2.3.33までのバージョン
  • Apache Struts 2.5から2.5.12までのバージョン

対策案

本レポート作成(2017年9月8日)時点において、Apache Software Foundationより、この脆弱性を修正するバージョンがリリースされています。当該脆弱性が修正されたバージョンへとアップグレードしていただくことを推奨いたします。

バージョン確認方法

Apache Struts 2が配置されたWebアプリケーションサーバーにて、/WEB-INF以下にある.jarファイルを検索します。検索結果として表示されるstruts2-core-2.x.x.jarの「2.x.x」の部分が、バージョン情報になります。
また、struts2-core-2.x.x.jarファイルに含まれるMANIFEST.MFについて、Bundle-Versionから始まる行を参照することでも、Apache Struts 2バージョン情報を確認することが可能です。

CentOS7の場合での実行例

参考サイト


検証概要

攻撃者は、ターゲットシステムで動作するWebアプリケーションサーバーに配置されたApache Struts 2へ細工を行ったリクエストを送信することにより、ターゲットシステムの脆弱性を利用して任意のコードを実行させます。
今回の検証に用いたコードは、ターゲットシステム上から特定のサーバー、ポートへコネクションを確立させるよう誘導し、システム制御を奪取するものです。これにより、リモートからWebアプリケーションサーバーの実行権限でターゲットシステムが操作可能となります。
*誘導先のシステムはDebianです。

検証ターゲットシステム

  • CentOS7.0 + Tomcat 8.5.20 + Apache Struts 2.3.33
  • CentOS7.0 + Tomcat 8.5.20 + Apache Struts 2.5.12

検証イメージ


検証結果

下図は、誘導先のコンピュータ(Debian)の画面です。黄線で囲まれた部分は、誘導先のホストの情報です。
一方で、赤線で囲まれている部分は、ターゲットシステム(CentOS)において、ユーザーの情報、IPアドレスの情報を表示するコマンドを実行した結果が表示されています。
これにより、ターゲットシステムで任意のコマンドを実行することに成功したと判断できます。


更新履歴

2017年9月8日 : 初版公開

セキュティソリューション一覧

脆弱性調査レポートのメール配信を開始しました!

ご好評いただいている「脆弱性調査レポート」ですが、コンテンツの都合上、レポートの発行は不定期です。そこで、新しい脆弱性調査レポートを発行するたびに最新情報をメールでお届けする「脆弱性調査レポート メール」の配信を開始しました。ぜひご登録ください。

本件に関するお問い合わせ先

『報道関係者様からのお問い合わせ』
ソフトバンク・テクノロジー株式会社
管理本部 経営企画部
コーポレートコミュニケーショングループ
TEL:03-6892-3063
メールアドレス:sbt-pr@tech.softbank.co.jp
『お客様からのお問い合わせ』
下記問い合わせフォームよりお問い合わせください。

お問い合わせ・資料請求

課題や悩みをお持ちのお客様は、
まずお気軽にご相談ください。

総合お問い合わせはこちら

目的別・サービス別のご相談は「お問い合わせ・資料請求先一覧」からお問い合わせください。

お問い合わせ・資料請求

課題や悩みをお持ちのお客様は、まずお気軽にご相談ください。

総合お問い合わせはこちら
  • SBT Talents
  • プライバシーマーク制度

  • ISMS認証登録範囲:
    本社、汐留、大阪、
    名古屋、福岡

ページトップへ