Struts2 の脆弱性分析: ハッカーの攻撃と防御による公式トラブル

著者：顧暁波

Appleの開発者向けウェブサイトがダウンしたことで、1週間前から公開されていたApache Struts2の脆弱性が再び話題となっている。今日、この脆弱性を悪用され、Taobaoのデータベースが盗まれたというニュースがある。Taobaoの関係者はこの発言を否定しているが、Wuyun脆弱性プラットフォームの報告によると、この脆弱性はJD.com、Taobaoなどの大手ウェブサイトに影響を与えているという。

Struts2 はどの程度広く適用されているのでしょうか? この脆弱性はどの程度深刻でしょうか? どの Web サイトが影響を受けるのでしょうか? 何がそんなに恐ろしいのでしょうか? NetEase Technology は複数のセキュリティ専門家に相談し、脆弱性の詳細な解釈を提供しました。

1. Struts 2 の脆弱性とは何ですか?

Struts は、Apache Software Foundation (ASF) が後援するオープン ソース プロジェクトです。Java Servlet/JSP テクノロジを使用して、Java EE Web アプリケーションの MVC 設計パターンに基づくアプリケーション フレームワークを実装します。Struts 2 は、Struts の次世代製品です。Struts 1 と WebWork のテクノロジを統合した新しい Struts 2 フレームワークです。

Struts フレームワークは、政府、公安、交通、金融業界、事業者の Web サイト構築に広く使用されており、Web サイト開発の基盤となるテンプレートとして使用されています。

今回発生した脆弱性は、Struts 2 のリモート実行の脆弱性です。この脆弱性を悪用することで、攻撃者はバックドアをアップロードしたり、Web サイトに侵入したり、ユーザー データベースを盗んだりすることができます。

2. この Struts 2 の脆弱性がこれほど大きな影響を及ぼすのはなぜですか?

まず、Apache は脆弱性の発表で脆弱性エクスプロイト コードを直接公式にリリースしましたが、多くの Web サイトが発表前にパッチを適用しなかったため、これは衝撃的な行為でした。脆弱性が発表された後、脆弱性は猛烈に広がり、脆弱性を直接悪用して侵入する絶対確実なツールが登場しました。パッチを適時に更新しなかった一部のWebサイトが侵入されました。

第二に、Apache Struts2 はアプリケーション フレームワークです。その脆弱性は、タイムリーにパッチがユーザーに送信され、更新後に問題が解決される Windows とは異なります。代わりに、Web マスターと Web サイト保守担当者が自分でパッチを更新する必要があります。そもそも、中国のすべての Web サイト技術者がこの脆弱性に注意を払い、更新するわけではありません。

3つ目は、脆弱性が発表された後、ハッカーは「成果」を示すために、サードパーティのプラットフォームに脆弱性のあるウェブサイトを大量に投稿したことです。それまで脆弱性に注目していなかった多くのハッカーが、脆弱性に注目し、脆弱性を探し始めました。

3. どのウェブサイトが影響を受けましたか?

Wuyun脆弱性プラットフォームの最新の確認済み脆弱性リストには、中国電信や中国聯通などの通信事業者の一部支社、中国科学院の一部サイト、工業情報化部、交通運輸部、中国郵政、テンセント、タオバオ、捜狐などの大手インターネット企業の一部の支社が含まれています。ただし、多くの支社はデータベースに関係していません。

ハッキングされたのは国内のウェブサイトだけではない。アップルの開発者向けウェブサイトがダウンしてから5日後、アップルはついにハッキングされたことを認めた。業界関係者は、Stuts2の脆弱性が原因かもしれないと推測した。その後、Ubuntuの開発者コミュニティもハッキングされ、182万件のユーザーデータが盗まれた。データは暗号化されているが、依然として一定のセキュリティリスクが残っている。

今回最も深刻な影響を受けた企業はJD.comで、高級品サイト360Top、宝くじページ、リチャージページ、支払い成功ページなどのサイトを含むWuyunプラットフォーム上で10件以上の脆弱性が報告された。

4. 影響を受けるウェブサイトには、一部の銀行ウェブサイトや Taobao などの電子商取引ウェブサイトが含まれます。ユーザーにとって危険ですか?

被害に遭ったウェブサイトの中には、データベースを伴わない銀行支店などもあります。しかし、ログイン機能がある場合、ハッカーはユーザーのログイン時にトロイの木馬を使って銀行口座番号やパスワードを盗むことができるため、一定のリスクは残ります。

タオバオは本日、脆弱性が悪用されたという主張を否定する声明を発表した。 Taobao は、いくつかの非常にマイナーなサイトで Stuts 2 フレームワークを使用していましたが、後に独自のフレームワークを開発したため、主なビジネスには影響がありませんでした。

5. ウェブサイトがドラッグされましたか?

データベースドラッグとは、データベースからデータをエクスポートすることを指します。大手のウェブサイトでは通常、データベースが暗号化されており、ハッカーはこれらのデータベースを解読してデータを取得します。

大規模なウェブサイトのデータベースが盗まれたという明確な証拠はなく、ブラックマーケットに新しいデータベースが登場したわけでもない。脆弱性が長い間公表されていなかったため、その影響は数か月後まで明らかにならないかもしれない。

6. 業界の噂

①. ハッカーは忙しい。多くのハッカーはすでにいくつかのウェブサイトの脆弱性を発見し、許可を得ています。Strutsの脆弱性が漏洩した後、他のハッカーが脆弱性を利用してこれらのウェブサイトへの許可を得るのを防ぐために、これらのハッカーは率先して「ゾンビマシン」の脆弱性を修復します。一方、別の波のハッカーは、脆弱性が修復される前に侵入を完了しようとします。そのため、両者は攻防戦を開始し、その間に多くのウェブサイトの脆弱性が「自動的に修復」されていることがわかりました。

②. アパッチは悪事を働く。あるハッカーは、5月に2件のリモート実行の脆弱性を発見したと主張した。その報告後、Apacheの関係者は脆弱性を認める声明を発表しただけで、パッチはリリースしなかった。 Struts に脆弱性が見つかったのは今回が初めてではないが、セキュリティ問題に対する公式の対応は単純かつ粗雑で、修正には複数回のパッチが必要になることもあった。今回は脆弱性を悪用する方法が直接公表されたのがさらに「奇妙」だった。

公式パッチはリリースされましたが、これまでの経験から、パッチによってセキュリティリスクが完全に排除されるかどうかはまだわかりません。

上記の情報は、複数のセキュリティ業界従事者の口頭発言や「Dao Ge's Blackboard」などの公開アカウントから引用したものです。

原題: Struts2 の脆弱性の解釈: 当局がトラブルを引き起こし、ハッカーが攻撃し防御する

キーワード: Struts2、脆弱性、解釈、当事者のトラブル、顧客攻撃、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、収益化