CVE-2024-53677 (CVSS 9.5): Critical Vulnerability in Apache Struts Allows Remote Code Execution
2024/12/11 SecurityOnline — 人気の Apache Struts フレームワークに、重大なセキュリティ脆弱性 CVE-2024-53677 (CVSS 9.5) が発見された。この脆弱性の悪用に成功した攻撃者は、リモート・コード実行の可能性を手にする。開発者に対して推奨されるのは、システムを直ちに更新することだ。
この脆弱性は、Apache Struts 2.0.0〜2.5.33/6.0.0〜6.3.0.2 の、ファイル・アップロード・ロジックに存在する。ちょうど1年前の 2023年12月に発見された、Apache Struts の脆弱性 CVE-2023-50164 (S2-066) を彷彿とさせる。
Apache Struts の勧告 (S2-067) には、「攻撃者は、ファイル・アップロード・パラメータを操作することで、パス・トラバーサル攻撃を仕掛ける可能性を得る。特定の状況では、悪意のファイルをアップロードし、リモート・コード実行を引き起こす可能性もある」と記されている。
この脆弱性の悪用が成功した場合の影響は深刻であり、データ漏洩/システム侵害に加えて、影響を受けたサーバの完全な乗っ取りも懸念される。Web アプリケーションに Apache Struts を使用している場合には、早急に対応し、このリスクを軽減することが強く推奨される。
すでに Apache Struts チームは、6.4.0 (6.7.0) をリリースし、この問題を修正している。ただし、この修正は、単純な置き換えソリューションではないため、新しい File Upload メカニズムへの移行が必要になる。
Apache Struts の勧告には、「この修正には、後方互換性がないため、新しい Action File Upload メカニズムと関連するインターセプターを使用する場合には、アクションを書き直す必要がある。古い File Upload メカニズムを使い続けると、この攻撃に対して、脆弱な状態を継続する可能性がある」と記されている。
一部の開発者にとっては、このコード変更が困難な場合もある。したがって、パッチ適用プロセスが遅延し、システムが攻撃に直面し続ける可能性がある。
ユーザーに対して求められるのは、この問題の解決に際して必要なリソースを割り当て、アップデートを優先し、安全なバージョンへの迅速かつ完全な移行を確実に行うことである。そうすることで、脆弱性 CVE-2024-53677 による悪用リスクを、大幅に軽減できる。
Apache Struts の脆弱性が FIX しましたが、アップデートに際しては、新たな File Upload メカニズムへの移行が必要になるため、それに応じたリソースの投入が避けられません。Apache のアドバイザリには、緩和策は無しと明記されています。このような状況を、脅威アクターたちは狙ってきますので、ご注意ください。よろしければ、Apache Struts で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.