脆弱性調査レポート

CVE-2016-3081 - 脆弱性調査レポート

Apache Struts 2の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2016-3081)(S2-032)に関する調査レポート

ソフトバンク・テクノロジー株式会社

ソフトバンク・テクノロジー株式会社

概要

Apache Struts 2に、リモートより任意のコードが実行可能な脆弱性(CVE-2016-3081)(S2-032)及び、その脆弱性を利用する攻撃ツールが発見されました。この脆弱性は、Dynamic Method Invocation に起因する脆弱性であり、同機能が有効である場合にのみ影響を受けます。
この脆弱性を利用した攻撃が成立した場合、リモートから Apache Struts 2が配置されたWebアプリケーションサーバーの実行権限で任意のコードを実行される危険性があります。

本レポート作成(2016年4月28日)時点において、既に Apache Software Foundation よりこの脆弱性が修正されたバージョンがリリースされております(2016年4月19日付)。しかしながら、攻撃が容易であること、また攻撃を受けた際にシステムへの影響が大きいことから、今回、この脆弱性(CVE-2016-3081)の再現性について検証を行いました。

影響を受ける可能性があるシステム

  • Apache Struts 2.3.20.3および2.3.24.3を除く、2.3.20から2.3.28までのバージョン

対策案

本レポート作成(2016年4月28日)時点において、Apache Software Foundation より、この脆弱性を修正するバージョンがリリースされています。当該脆弱性が修正されたバージョンへとアップグレードしていただくことを推奨いたします。アップグレードが困難である場合、Dynamic Method Invocation 機能を無効化することにより問題を回避することが可能です。Dynamic Method Invocation 機能を無効化するためには、struts.xml 内の『struts.enable.DynamicMethodInvocation』の設定値を『false』にした後、Web アプリケーションサーバーを再起動します。

(設定例)
<constant name="struts.enable.DynamicMethodInvocation" value="false" />

バージョン確認方法

Apache Struts 2が配置されたWeb アプリケーションサーバーにて、/WEB-INF/lib 以下にある.jar ファイルを検索します。検索結果として表示される struts2-core-2.x.x.x.jar の『2.x.x.x』の部分が、バージョン情報になります。 また、struts2-core-2.x.x.x.jar ファイルに含まれる MANIFEST.MF について、Bundle-Version から始まる行を参照することでも、Apache Struts 2バージョン情報を確認することが可能です。

参考サイト

CVE-2016-3081
Apache Struts2 の脆弱性対策について(CVE-2016-3081)(S2-032)

検証概要

攻撃者は、ターゲットシステムで動作するWebアプリケーションサーバーに配置された Apache Struts 2へ細工を行ったパケットを送信することにより、このターゲットから誘導先のシステムへコネクションを確立させます。この結果、誘導先のシステムより Web アプリケーションサーバーの実行権限で任意のコマンドが実行可能となります。

  • *誘導先のシステムは Windows 7 Professional です。

検証ターゲットシステム

Debian 7上で動作する Tomcat 7.0.39に配置された Apache Struts 2.3.24

検証イメージ

検証イメージ

検証結果

下図は、誘導先のシステム(Windows 7)上で攻撃用のツールを実行した際の画面です。黄枠の箇所は、ターゲットシステムに対して任意のコマンド(cat /etc/passwdは/etc/passwd ファイルを参照するコマンド)を実行しています。一方で赤枠の箇所は、コマンドの実行結果(ユーザー情報の表示、および/etc/passwd ファイルの内容の表示)が表示されていることを確認できます。(以下の図では tomcat ユーザーによるコマンドの実行がされていますが、こちらの権限は Apache Struts 2が配置された Web アプリケーションサーバーの実行権限に依存します)

検証結果

更新履歴

2016年4月28日 : 初版公開


本件に関するお問い合わせ先

『報道関係者様からのお問い合わせ』

ソフトバンク・テクノロジー株式会社
管理本部 経営企画部 齊藤、安部、菅
TEL:03-6892-3063
メールアドレス:sbt-pr@tech.softbank.co.jp
『お客様からのお問い合わせ』

下記問い合わせフォームよりお問い合わせください。

【総合】お問い合わせ

ソリューションに関する全般的なお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録