11 月に公開された Apache Struts 2 のリモート コード実行の脆弱性は、CVE の公開を受けて、ほぼ最大の深刻度評価を受けていることがわかりました。
水曜日に CVE を公開した National Vulnerability Database (NVD) によると、Apache は CVSSv4 フレームワークを使用して CVE-2024-53677 に 9.5 の評価を付け、Tenable は CVSSv3 を使用して 9.8 の評価を付けました。
リモート攻撃者が権限を必要とせずに脆弱性を悪用できることと、システムの機密性、整合性、可用性に対する大きな影響を考慮すると、Apache Foundation は、顧客が安全なバージョン (Struts 6.4.0 以降) にアップグレードできるように、最も興味深い詳細を隠していた可能性があります。
2017 年に発生した「完全に予防可能」な Equifax の情報漏洩に Struts のバグが関連していたことを考えると、安全を第一に考えるのは当然のことです。
Equifaxは脆弱なStruts実装を発見したりパッチを適用したりできなかった
続きを読む
CVE-2024-53677にも回避策はありません。パッチを当てるか当てないかのどちらかしかありません。
この欠陥について、Apache は勧告の中で次のように述べている。「攻撃者はファイルアップロードパラメータを操作してパストラバーサルを有効にすることができ、状況によっては、リモートコード実行に使用できる悪意のあるファイルをアップロードする可能性があります。」
影響を受けるバージョンは次のとおりです:
-
Struts 2.0.0… Struts 2.3.37 (EOL)
-
Struts 2.5.0… Struts 2.5.33
-
Struts 6.0.0… Struts 6.3.0.2
重要なのは、バージョン 6.4.0 で非推奨となり、バージョン 7.0.0 で完全に削除された Struts の File Upload Interceptor コンポーネントを使用しないアプリケーションは影響を受けないことです。
- Apache Struts 2のダウンロードの5分の4は、重大な欠陥のあるバージョンである。
- エクイファックス、2017年の大規模情報漏洩で1110万ポンドの罰金
- Equifaxのソフトウェアバグにより、数週間にわたり信用スコアの計算が混乱
- ApacheはStruts 2のセキュリティバグが2020年に完全に修正されなかったと発表
アップグレードプロセスの一環として、ファイルアップロードメカニズムをAction File Upload Interceptorにアップデートすることも推奨されました。これは、バージョン6.4.0以降、前述のコンポーネントに代わるものです。File Upload Interceptorは、設定オプション、セキュリティ、パフォーマンス、および統合機能に関連する様々な理由により非推奨となりました。
このメカニズムのアップグレードは、単純なアップデートを適用するほど簡単ではありません。ユーザーはAction File Uploadとの互換性を確保するためにアクションを書き換える必要がありますが、それ以外の方法は受け入れられません。Apacheは「古いファイルアップロードメカニズムを使用すると、この攻撃に対して脆弱な状態が続く」と述べています。
昨今、Webアプリ開発者は異なるフレームワークを選択することが多いにもかかわらず、Struts 2は依然として広く普及しています。Sonatype社が昨年、性質と深刻度の両方でCVE-2024-53677に類似した脆弱性であるCVE-2023-50164を調査した際、Struts 2は毎月約30万件のダウンロードリクエストを受けており、そのうち80%にこの重大なバグが含まれていたと指摘しました。
CISA は、既知の悪用された脆弱性 (KEV) カタログに Apache Struts の脆弱性を 8 件リストしています。そのうち 7 件はリモート コード実行につながり、1 件 (CVE-2017-5638 (Equifax の脆弱性)) はランサムウェア攻撃に使用されることが知られています。®
