Apache Struts2とはApache Software Foundationから提供されている、ソフトウェアフレームワークです。主にWebアプリケーションを開発するためのフレームワークで、複数のライブラリが組み込まれており、Apache Struts2を利用してWebサイトの開発を行っている個人や法人も数多く存在しています。
Apache Strutsを使ってWebサイトやWebサイトなどのアプリケーションを作りインターネット上に公開すると、常時どこからでもアクセスすることができるようになり、脆弱性が見つかった場合は、情報漏えいなどの脅威にさらされてしまいます。脆弱性対策として修正パッチの情報が公開されているので、修正パッチを適用し常にソフトウェアを最新の状態にアップデートしておくことが大切です。
2017年にApache Struts2の脆弱性が確認されています。
それは脆弱性(CVE-2017-9805)と呼ばれているもので、RESTプラグインを使っている場合に、XMLリクエストの処理の最中に「リモートで任意のコードが実行される」という脆弱性です。攻撃者が、Apache Struts2に対して悪意のあるリクエストを送信すると、Apache Struts2が設置されているサーバー内で実行され、サイトが攻撃を受けたり乗っ取られたりする可能性があります。
この脆弱性を悪用し、Webサイトへ攻撃を仕掛けるコードが公開されているため、Apache Struts 2の対策済みのバージョンへのアップデート、もしくはWAFの導入など何かしらの回避策が必要となります。
Apache Struts2のStruts 2.1.2 から Struts 2.3.33, Struts 2.5 から Struts 2.5.12が対象のバージョンとなるため、注意が必要です。
バージョンを確認する方法は、Apache Struts2を利用しているWebアプリケーションの /WEB-INF/lib ディレクトリから、struts2-core-2.x.x.x.jar ファイルの名称を確認します。2.x.x.xの部分がバージョン情報です。
Apache Struts2の脆弱性対策としては最新版をダウンロードし、新しいものにアップデートすることです。基本的に最新バージョンへのアップデートは手動となります。脆弱性が見つかると、新しいバージョンの情報が公開される可能性が高いので、何が最新バージョンなのかは定期的に確認しておくと良いでしょう。アップデートする際は、事前にテストを実施し、システムが問題なく動作するのを確認してからの実行をお勧めします。
<参考>IPA(独立行政法人情報処理推進機構):https://www.ipa.go.jp/security/ciadr/vul/20170906-struts.html
Apache Struts2の脆弱性に関してご紹介しました。
Apache Struts2においては上記の脆弱性だけでなく、ほかにも多くの脆弱性が見つかっています。これらについては最新のバージョンにアップデートすることで回避できます。脆弱性の情報はIPA(独立行政法人情報処理推進機構)のホームページにても公開されておりますので、定期的に確認するのがよいでしょう。いつ脆弱性を突かれて攻撃を受けるかわからないため、常にソフトウェアは最新の状態にアップデートしておくことをお勧めします。
Webセキュリティ対策としておススメなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
(2018/4/25 執筆、2019/4/9修正・加筆)
この記事と一緒に読まれています
Apache Struts2の脆弱性で広がるサイバー攻撃の被害
2017.03.30
セキュリティ対策
【注意喚起】Apache Struts2の脆弱性発覚!即時の対応を!
2017.09.12
セキュリティ対策
Drupalの脆弱性を狙った攻撃に注意!今すぐできる対策とは?
2019.05.13
セキュリティ対策
2019.10.12
セキュリティ対策
2020.01.30
セキュリティ対策
2020.02.14
セキュリティ対策