パッチがリリースされてから48時間以内に、Apache Strutsでのリモートでコード実行を可能にする脆弱性に対する最初の悪用が見られました。

今週初めに修正されたApache Struts 2.5の重大な脆弱性は、侵入者によって積極的に悪用されています。この脆弱性（CVE-2017-9805）は、信頼できないソースによって、Apache Strutsデータの処理中のソフトウェアにエラーを発生させるもので、リモートの攻撃者がサーバー上で悪意のあるコードを実行する可能性があります。パッチがリリースされて数時間後、ハッカーは、この脆弱性を利用するためのエクスプロイトとMetasploitモジュールをリリースしました。

この脆弱性を発見したLGTM社の研究者は、フォーチュン100企業の少なくとも65％がApache Strutsフレームワークを使用しており、ソフトウェアをアップデートしなければリモート攻撃の犠牲になる可能性があると警告しています。同時に、コントラスト・セキュリティ社の専門家は、この種の悪用に対する保護を提供していますが、問題のあるRESTプラグインをJavaアプリケーションの1％未満が使用していると報告しています。

それにもかかわらず、パッチがリリースされてから48時間以内に、専門家は、この脆弱性を悪用する最初の試みに気付き始めました。Cisco Talos社とベルギーのNVISO Labs社のチームの主な目的は脆弱なサーバーを見つけることでしたが、攻撃を特定しました。Cisco Talos社によると、スキャンの試みはロシアのサイト（wildkind [.] Ru、188.120.246 [.] 215）から行われました。また、悪意のあるソフトウェアを使用した攻撃を特定しました。研究者は、どのペイロードが使用されたのかを判断することはできませんでしたが、Apache Strutsに対する以前の攻撃で判断すると、DDoSボット、スパムボット、その他の悪意のあるプログラムによる可能性があります。

Apache Strutsの開発者は、バージョン2.5.13の脆弱性（CVE-2017-9805）を修正し、さらにDoSの深刻度の低いいくつかの脆弱性（CVE-2017-9804、CVE-2017-9793）を削除しました。また、開発者は別のアップデート2.3.34をリリースしました。これにより、リモートでコードを実行できる脆弱性（CVE-2017-12611）が削除されます。

記事提供元: http://www.securitylab.ru

翻訳: Kazunori Yoshida