CVE-2023-50164: Apache Struts Remote Code Execution Vulnerability
2023/12/07 SecurityOnline — Java Web アプリケーション開発の領域において、Apache Struts は効率性とモダンなデザインの指標として存在している。このオープンソースの MVC (Model-View-Controller) フレームワークにより、開発者たちは、洗練された Web アプリの開発が比較的簡単にできるようになる。しかし、最近に発見された致命的な脆弱性が、その堅牢なアーキテクチャに影を落としている。
このセキュリティ上の脆弱性 CVE-2023-50164 は、Apache Struts の特定のバージョンを実行しているシステムに深刻な脅威をもたらす。この脆弱性は、フレームワークのファイル・アップロード・パラメータの処理に起因するものであり、このパラメータが操作されると、不正なパス・トラバーサルにつながる可能性がある。
この脆弱性の悪用に成功した攻撃者は、これらのパラメータを利用することで、サーバのディレクトリ構造の上を移動し、悪意のファイル・アップロードを可能にしていく。それらの悪意のファイルは、いったん配置されると、リモート・コード実行 (RCE) につながる可能性があり、システム管理者にとって悪夢のシナリオになる。
Apache Struts のアドバイザリでは、「攻撃者は、ファイル・アップロード・パラメータを操作してパス・トラバーサルを可能にし、状況によっては、リモート・コード実行に使用可能な悪意のファイルをアップロードする可能性がある」と説明されている。
この脆弱性は、セキュリティ研究者の Steven Seeley が発見/報告したものであり、Apache Struts のバージョン 2.5.0〜2.5.32/6.0.0〜6.3.0 に影響を及ぼす。これらのバージョンでの悪用に対して、十分に注意する必要がある。
Apache は Struts の更新版 2.5.33/6.3.0.2 をリリースし、この脆弱性に対処した。このアップグレードは、凶悪なサイバー脅威に対するワクチンに相当し、Web アプリの健全性とセキュリティを確保するために必要なステップである。
パッチを当てることに加えて、Apache Struts の安全性をより高めるために、以下の対処を推奨する:
- ファイル・アップロードの設定を見直す:許可されたファイルタイプのみを受け入れ、アップロードされるファイルのサイズを制限するように、設定されていることを確認する。
- WAF (Web Application Firewall) を使用する: WAF は、悪意のトラフィックの検出/ブロックに役立つ。
- ソフトウェアを最新の状態に保つ: Apache Struts やなどのソフトウェアを、最新バージョンへと定期的にアップデートする。
- アプリケーションを監視する: 攻撃を示す不審な動きがないか、アプリケーションを監視する。
Apache Struts の脆弱性 CVE-2023-50164 ですが、お隣のキュレーション・チームに聞いてみたところ、12月9日付でレポートしているとのことですが、NVD での CVSS 値は 9.8 で、Atlassian と Cisco での評価は Critical となっているとのことでした。よろしければ、Apache Struts で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.