Apache Struts 2 の Parameters インターセプタの実装に起因するClassLoader を操作可能な脆弱性(Scan Tech Report)
Apache Struts 2 の Parameters インターセプタには、class パラメータの処理に起因して ClassLoader を不正に操作されてしまう脆弱性が存在します。
脆弱性と脅威
エクスプロイト
Apache Struts 2 の Parameters インターセプタには、class パラメータの処理に起因して ClassLoader を不正に操作されてしまう脆弱性が存在します。
悪意あるリモートの第三者に利用された場合、Apache Struts 2 上で動作するWeb アプリケーションを一時的にサービス不能状態にされる、あるいはシステム上で不正な操作が実行される可能性があります。
外部に公開する Web アプリケーションで Apache Struts 2 を利用する環境では、深刻な影響を受ける可能性があるため、影響を受けるバージョンの Apache Struts 2 を利用するユーザは速やかに以下に記載する対策を実施することを推奨します。
2.深刻度(CVSS)
5.0
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-0094&vector=%28AV:N/AC:L/AU:N/C:N/I:P/A:N%29
3.影響を受けるソフトウェア
Apache Struts 2.0.0 - 2.3.16
4.解説
Apache Struts は、Apache Software Foundation が提供する Web アプリケーションを構築するためのフレームワークであり、インターセプタと呼ばれる、
Action クラスの前後に処理を挟み込む機能が実装されています。その中の 1 つ、Parameters インターセプタ (ParametersInterceptor)※1 は、リクエストパラメータを制御することを目的としています。
Apache Struts 2 には、この Parameters インターセプタにおいて、class パラメータを適切にチェックせず、直接 getClass() メソッドへ渡してしまう不備があります。
このため、class.classLoader.* を含むリクエストを介して ClassLoader を不正に操作可能な脆弱性が存在します。
この脆弱性を利用することで、リモートの攻撃者は、Apache Struts 2 上で動作する Web アプリケーションを一時的にサービス不能状態する、あるいは Apache Struts 2 を実行するユーザの権限で任意の Java コードが可能となります。
なお、公開されている攻撃手法では、ClassLoader を介して Apache Tomcat のアクセスログの出力先※2、ファイル名およびフォーマットを変更します。
その後、Java コードを含むリクエストを送信し、アクセスログに Java コードを書き込み、アクセスログを参照することによって、送信した Java コードを実行するという手法になります。
※1 http://struts.apache.org/development/2.x/docs/parameters-interceptor.html
※2 出力先は公開ディレクトリ、ファイル名は JSP ファイルに変更します。
5.対策
以下の Web サイトより、Apache Struts 2.3.16.1 以降を入手しアップデートすることで、この脆弱性を解消※3 することが可能です。
Apache Struts 2.3.16.1:
http://struts.apache.org/download.cgi
あるいは、設定ファイル struts-default.xml の excludeparams に ^class\.を追加し、ClassLoader を操作するために必要な文字列 "class." から始まる文字列がリクエストに含まれていた場合に拒否する設定にすることで、この脆弱性を緩和することが可能です。
※3 Apache Struts 2.3.16.1 におけるこの脆弱性に対する修正が不完全である可能性が Full Disclosure※4 で示唆されています。
このことにより、次期バージョン Apache Struts 2.3.17 では、Struts の github で公開される修正コード※5 が実装される予定です。
※4 http://seclists.org/fulldisclosure/2014/Mar/50
※5 https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
製品・サービス・業界動向
千葉、三菱UFJ、三井住友信託、中国、伊予ら五行横断 ~ プライバシー保護連合学習検証
リスクベース認証に必要な不正検知、ふるまい検知にとって、AI(機械学習や統計学的手法)は欠かせない存在だ。AI系のセキュリティ応用技術では中国やアメリカ、イスラエルが世界をリードしているが、国内で同様な研究がないわけではない。
-
「KillNet」がドイツに大規模サイバー攻撃/Chrome の脆弱性「SymStealer」を悪用した攻撃シナリオ公開 ほか [Scan PREMIUM Monthly Executive Summary 2023年1月度]
注目の脅威情報としては、FBI が、昨年 6 月に発覚した仮想通貨のブリッジングサービス「Harmony Horizon Bridge」から、総額 135 億円相当の仮想通貨が流出した事案において、北朝鮮の APT グループ「Lazarus」が仮想通貨の窃取に関与していたと発表しています。
-
[実はたいして儲からない]サイバー犯罪者さん 職種別給与一覧 ~ 求人広告22万件調査
「サイバー犯罪界隈で働く技術者と正規の雇用市場で働く技術者の報酬額の中央値を比較したところ大きな違いは検出できなかった」と指摘している。
-
12年間子供たちをサイバー脅威から守る ~ CISA、教育機関向けレポートとツールキット公開
幼稚園・小中高校とその学区では、より効率的かつ効果的に学習するために高度なネットワーキング技術を採用してきた。それにより技術的に発展したが、一方でリスクも高まり、全米のK-12教育機関はサイバー攻撃の標的となった。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
![「KillNet」がドイツに大規模サイバー攻撃/Chrome の脆弱性「SymStealer」を悪用した攻撃シナリオ公開 ほか [Scan PREMIUM Monthly Executive Summary 2023年1月度] 画像](/imgs/std_m/40538.jpg)
「KillNet」がドイツに大規模サイバー攻撃/Chrome の脆弱性「SymStealer」を悪用した攻撃シナリオ公開 ほか [Scan PREMIUM Monthly Executive Summary 2023年1月度]

標的は音声広告在庫、大規模な広告インプレッション詐欺「BeatSting」

ESXiを標的としたランサムウェア攻撃、2日間で3,195台の被害を確認

スマートフォンアプリ「一蘭公式アプリ」にサーバ証明書の検証不備の脆弱性

Knot Resolverの脆弱性情報が公開

WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性
インシデント・事故 記事一覧へ

堂島ロールのMon cherを装ったなりすましメールを確認、注意を呼びかけ

東証プライム従業員が顧客情報持ち出し第三者に漏えい、ウォーターサーバー勧誘等に悪用される

尼崎市職員の公用スマホ紛失、虚偽報告が判明し懲戒処分に

住民基本台帳法違反容疑で逮捕された杉並区職員、免職の懲戒処分に

北ガスジェネックス委託先の北斗興業がネットワーク共有している会社のサーバに不正アクセス

不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開
調査・レポート・白書・ガイドライン 記事一覧へ

警察庁に報告のあったランサムウェア被害、前年比57.5%増加し230件

経産省、カード番号漏えい時の公表早期化に向け検討

2022年1Qセキュリティグローバル動向、農業分野に対するサイバー攻撃やOAuthトークン漏えい事件等整理 ~ NTTデータ

タイやフィリピンより低い日本のDMARC導入率 ~ ようやく経産省がクレカ各社へ導入求める方針

IPA 警察庁 ENISA FBI ・・・、自社に合ったセキュリティレポートとは?

DX推進 重視する人材「情報セキュリティ担当」最多47.9%
研修・セミナー・カンファレンス 記事一覧へ

2/11・2/12「SECCON 2022 電脳会議」浅草橋ヒューリックホール&カンファレンスで開催

国内発が多数を占め増え続けるSMSフィッシング、携帯キャリアの対策は? ~ JPAAWG 5th General Meetingレポート-3

厚生労働省、医療機関におけるサイバーセキュリティ対策セミナー開催

警察庁・総務省、フィッシングや迷惑メール対策で重要な役割を果たす「官」の役割、具体的な取り組みとは? ~ JPAAWG 5th General Meetingレポート - 2

群馬県高崎市で「サイバーインシデント演習 in 関東」2/14 開催、講師 川口設計 川口氏

全国の情シス50人に聞いた365の弊害や問題点、好評セミナーをオンデマンド配信
製品・サービス・業界動向 記事一覧へ

千葉、三菱UFJ、三井住友信託、中国、伊予ら五行横断 ~ プライバシー保護連合学習検証

「おことわり」減らす ~ LACサイバー救急センター 侵害調査全工程を自社内で、2022年は過去最多476件対応

脱PPAPのリリーフエース、国産セキュリティ企業 パスロジ「クリプタン」が両立した高いセキュリティと抜群の利便性

役割やレベルに合わせ4コース「セキュリティインシデントレスポンス教育」

GMOイエラエ阿部慎司氏「JNSA賞」受賞、国際基準策定に貢献
