Hackers exploit critical Apache Struts RCE flaw (CVE-2024-53677) after PoC exploit release
2024/12/16 SecurityOnline — Apache Struts の深刻な脆弱性 CVE-2024-53677 (CVSSv4:9.5) だが、PoC エクスプロイトが公開された僅か数日後から、脅威アクターたちによる悪用が始まっている。この脆弱性の悪用に成功したリモート攻撃者は。ファイルアップロード・ロジックの欠陥を悪用して、任意のコード実行を達成できるという。
脆弱性 CVE-2024-53677 が影響をおよぼす範囲は、Apache Struts の広範なバージョンとなる:
- 2.0.0 ~ 2.5.33
- 6.0.0 ~ 6.3.0.2
この問題は、ファイルアップロード・パラメータに対する、不適切な検証と処理に起因する。この脆弱性の悪用に攻撃者は、以下のアクションを達成する:
- パス トラバーサル:既存のセキュリティ制御を回避して、サーバ上の許可されていない場所への、ファイル・アップロードを可能にする。
- リモート・コード実行 (RCE):”.jsp” スクリプトやバイナリ・ペイロードなどの悪意の実行型ファイルをトリガーし、サーバを完全に制御する。
すでに Apache Software Foundation は、バージョン 6.4.0 (6.7.0) 以降において、この脆弱性に対処している。廃止されたファイルアップロード・メカニズムを使用している組織に対して、強く推奨されるのは、今回のリリースで導入された、新しくてセキュアなロジックへと更新することである。このアップデートは、従来からのメカニズムと互換性がないため、その点にも注意する必要がある。
SANS.edu の研究担当学部長である Johannes B. Ullrich 博士によると、積極的なエクスプロイトの試みが検出されているとのことだ。これらの攻撃は、PoC エクスプロイト コード [https://github.com/TAM-K592/CVE-2024-53677-S2-067] に厳密に従っているようであり、攻撃者が重点を置くのは、脆弱なシステムの特定と侵害だとされる。
エクスプロイト・シーケンスの例:
悪意のファイルのアップロード:
POST /actionFileUpload HTTP/1.1 Host: [honeypot IP address]:8090 User-Agent: python-requests/2.32.3 Accept-Encoding: gzip, deflate, zstd Accept: / Connection: keep-alive Content-Length: 222 Content-Type: multipart/form-data; boundary=0abcfc26e3fa0afbd6db1ba369dfcc37 –0abcfc26e3fa0afbd6db1ba369dfcc37 Content-Disposition: form-data; name=”file”; filename=”exploit.jsp” Content-Type: application/octet-stream <% out.println(“Apache Struts”); %> –0abcfc26e3fa0afbd6db1ba369dfcc37–
上記のリクエストは、エクスプロイトの成功を確認するために設計された、悪意の “.jsp” スクリプトをアップロードするものだ。
アップロードされたファイルの検証:
GET /actionFileUpload/exploit.jsp HTTP/1.1 Host: [honeypot IP]:8090 User-Agent: python-requests/2.32.3 Accept-Encoding: gzip, deflate, zstd Accept: / Connection: aliveAttackers
続いて、アップロードされたスクリプトを見つけ出し、実行しようとする。このケースでは、侵害が成功したことを示す “Apache Struts” が出力される。
セキュリティ研究者は、以前に文書化された脆弱性 CVE-2023-50164 と、今回の脆弱性 CVE-2024-53677 との関連を特定した。
つまり、脆弱性 CVE-2023-50164 に対する不完全なパッチが、新しい欠陥の出現の一因となったと疑われている。したがって攻撃者たちは、類似点を利用してエクスプロイト手法を改良しており、すでに強化されたエクスプロイトが、公開リポジトリで流通するという状況にいたっている。
現時点におけるエクスプロイトの試みは、IP アドレス [169.150.226.162] から行われており、脆弱なエンド・ポイントのスキャンが開始されている。最初の偵察は、”/” や “/cbs” などの単純なパスに重点が置かれており、アップロードに関連する他の脆弱性を探っていたと推測される。これらの活動から、迅速な行動の必要性が示唆される。
Apache Struts の脆弱性 CVE-2024-53677 が悪用されているようです。この件に関する第一報は、2024/12/11 の「Apache Struts の脆弱性 CVE-2024-53677 (CVSS 9.5) が FIX:RCE が生じる恐れ」であり、そこから数日の間に、悪用が観測されています。気になるのは、修正版への移行にはファイルアップロード・メカニズムの入れ替えが必要であり、そのためのリソースが必須であるという点です。よろしければ、Apache Struts で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.