SIDfm による Apache Struts 脆弱性管理

まず、2013年7月に大きなニュースとなりJPCERT/CCからも注意喚起が発表された Apache Struts の脆弱性に関するセキュリティアドバイザリと関連ニュースをご紹介します。

OSベンダーやアプリケーションベンダーが発表するセキュリティアドバイザリやリリース情報などは、システムの脆弱性管理を行う上で重要かつ必要な情報です。また、それらの脆弱性に関連する US-CERT、JC3(旧CIAC)、IPA、JPCERT/CCなどの機関から発表される注意喚起などの情報も、脆弱性の脅威や影響を判断するために役立ちます。

但し、OSベンダーやアプリケーションベンダーが発表するセキュリティアドバイザリの発表形式や発表方法は、それぞれに異なっていますので複数のOSやアプリケーションを利用している場合は、その分の手間が必要となります。

• S2-017 A vulnerability introduced by manipulating parameters prefixed with "redirect:"/"redirectAction:" allows for open redirects (CVE-2013-2248)
• S2-016 A vulnerability introduced by manipulating parameters prefixed with "action:"/"redirect:"/"redirectAction:" allows remote command execution (CVE-2013-2251)

• Apache Struts の脆弱性 (S2-016) に関する注意喚起 (JPCERT/CC)
• V-200: Apache Struts DefaultActionMapper Redirection and OGNL Security Bypass Vulnerabilities (JC3)
• Apache Struts2の脆弱性を悪用した攻撃が急増、ラックが緊急で注意喚起(ITPro)
• 「 止まらないウェブ改ざん！ 」～　ウェブサイトの管理の再検討を！　～ (IPA)

前述の Apache Struts からのアドバイザリやインターネットニュースやJPCERT/CCなどの機関から発せられたセキュリティ情報に触れた場合、疑問となるのが自分が管理するシステムに影響する脆弱性なのか、ということです。実際のところ、自分のシステムへの脆弱性の影響の有無を判断するためには、アドバイザリや注意喚起を知る前に、システムで利用しているOSやアプリケーションのバージョンや構成を知ることが必要です。

OSやアプリケーションのバージョン確認方法は、OSやアプリケーション毎に固有であり、その確認方法を知っておくことは大切です。ここでは、Apache Struts のバージョン確認方法をご紹介します。なお、SIDfm のコンテンツ内には、OS、アプリケーションやアプライアンスなどのバージョン確認方法を記載しています。

さて、Apache Struts の 2013年7月23日現在の最新バージョンは、2.3.15.1 です。残念ながら、Apache Struts 2.3.15.1 未満のバージョンには脆弱性が存在します。では、Apache Struts のどのバージョンにどのような脆弱性が存在するのでしょうか。ここでは、Apache Struts 2.3.15 を例に SIDfm を利用して、利用中の Apache Struts のバージョンに存在する脆弱性とそのリスクを調べ、評価する方法をご紹介します。

では、ソフトウェアの脆弱性による脅威とはどういうものがあるのでしょうか。以下に代表的なものをまとめます。

• 不正侵入

  組織外部の第三者が、何らかの目的をもって組織内に侵入することです。
  脆弱性を利用された場合に、一般に最もよくイメージされうる脅威です。サーバの脆弱性が比較的利用されます。

• マルウェア感染

  ウィルスなど、不正な操作を目的としたソフトウェアをマルウェアと呼びます。
  近年は不正侵入のための最初の手段として用いられる傾向にあります。クライアントの脆弱性が比較的利用されます。

• なりすまし

  特定のシステムに対して不正なユーザが正規ユーザとしてシステムを利用することです。
  脆弱性により、認証のメカニズムを悪用した場合に起こりえます。アプリケーションの脆弱性が比較的利用されます。

• 情報漏洩・改竄

  組織にとっての重要な情報・データを外部へ送ったり、勝手に書き換えたりすることです。
  脆弱性により、アクセス制御が無効化されたり迂回されたりした場合に起こりえます。データベース（とその関連）の脆弱性が比較的利用されます。

• 盗聴

  システムのネットワークを通じて、情報を盗み見することです。
  脆弱性により、暗号を弱くしたり無効化されたりした場合に起こりえます。使用されている暗号ライブラリや暗号そのものの脆弱性が利用されます。

• サービス不能

  ユーザが意図していない時点でサービスを止めてしまうことです。
  脆弱性により、リソースを無駄に使用させたり、サービスプログラムを強制終了させたりした場合に発生します。サーバの脆弱性が比較的利用されます。

上記に挙げた脅威を見ると、利用される脆弱性とその対象は、サーバはもちろん、クライアント、アプリケーション、データベース、ライブラリと広範囲であることがわかるはずです。それぞれの脅威と対象を鑑みて、効率的かつ適切なソリューションを選択して適用していくことは必要です。しかし、これらの広範囲を一つのソリューションでカバーすることはあまり現実的ではありません。したがって、まず脅威となる根本原因の脆弱性を地道に潰して行くことが重要となります。

過去からの不正アクセスの変遷を考えると標的型攻撃などに目的や意図は変わりましたが、攻撃対象や手法は変わっていません。 脆弱性を原因とした不正アクセスを未然に防ぐには、脆弱性そのものの情報をいち早く入手し、対象にいち早く適用していく脆弱性管理が、さらに重要となっていくことでしょう。