【SBT脆弱性調査レポート】脆弱性(CVE-2018-11776)(S2-057)に関する調査レポート公開

~Apache Struts 2の脆弱性により、リモートから任意のコードを実行可能な脆弱性の再現性を検証~


ソフトバンク・テクノロジー株式会社

ソフトバンク・テクノロジー株式会社(本社:東京都新宿区、代表取締役社長:阿多 親市、以下SBT)は、脆弱性CVE-2018-11776を利用した攻撃の再現性について検証を行い、調査レポートを公開しましたのでお知らせします。

該当の脆弱性については、本レポート作成時の2018年8月27日時点において、既にApache Software Foundationよりこの脆弱性が修正されたバージョン(2018年8月22日付)がリリースされておりますが、攻撃が容易であり、かつ攻撃コードも公開されていること、また攻撃を受けた際にシステムへの影響が大きいことから、クリティカルな脆弱性として、当社セキュリティリサーチグループにおいて再現性の検証を行いました。

【概要】

Apache Struts 2に、リモートより任意のコードが実行可能な脆弱性(CVE-2018-11776)(S2-057)及び、その脆弱性を利用する攻撃コードが発見されました。この脆弱性は、Strutsフレームワークのコアによるデータ検証処理の欠陥にあり、alwaysSelectFullNamespaceがtrueに設定されている場合、または、strutsの設定ファイルにワイルドカードnamespaceを使用したactionタグまたはurlタグが含まれる場合に影響を受けます。
この脆弱性を利用した攻撃が成立した場合、リモートからApache Struts 2が配置されたWebアプリケーションサーバーの実行権限で任意のコードを実行される危険性があります。

【影響を受ける可能性があるシステム】

・ Apache Struts 2.3から2.3.34までのバージョン
・ Apache Struts 2.5から2.5.16までのバージョン

上記以外のサポート外のバージョンのStrutsでも、脆弱性の影響を受ける可能性があります。

【対策案】

本レポート作成(2018年8月27日)時点において、Apache Software Foundationより、この脆弱性を修正するバージョンがリリースされています。当該脆弱性が修正されたバージョンへとアップグレードしていただくことを推奨いたします。

【バージョン確認方法】

Apache Struts 2が配置されたWebアプリケーションサーバーにて、/WEB-INF/lib以下にある.jarファイルを検索します。検索結果として表示されるstruts2-core-2.x.x.x.jarの『2.x.x.x』の部分が、バージョン情報になります。
また、struts2-core-2.x.x.x.jarファイルに含まれるMANIFEST.MFについて、Bundle-Versionから始まる行を参照することでも、Apache Struts 2バージョン情報を確認することが可能です。

本件に関する報道機関からの問い合わせ先

○ソフトバンク・テクノロジー株式会社 経営企画部 コーポレートコミュニケーショングループ
Tel:03-6892-3063 / Mail:sbt-pr@tech.softbank.co.jp