Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2017年4月2日

SiteGuard Lite(WAF)がStruts2の脆弱性S2-045,046に迅速に対応していた

自分のサイトの WAF (Web Application Firewall) を SiteGuard Lite にしていたので、情報を調べていたところ、巷で問題になっている Struts 2 の脆弱性である S2-045、S2-046 に関する情報を見つけました。

piyolog さんの情報によると、S2-045 の情報が公開されたのは2017年3月7日時点とのことです。S2-046の公開は2017年3月20日とのこと。

2017年3月7日、Struts2にリモートから任意のコード実行可能な脆弱性が確認されたとして情報(S2-045)が公開されました。また同様の脆弱性が他にも存在するとして、2017年3月20日に脆弱性情報(S2-046)も公開されています。

Struts2の脆弱性 CVE-2017-5638 (S2-045/S2-046)についてまとめてみた - piyolog

S2-045 のやっかいなところは深刻な脆弱性であったのに、攻撃までの時間が異常に短かったことにありました。

脆弱性が公開された当日には攻撃が始まっているという異常な事態ですね。

そんな状況の中、SiteGuard Lite はどうだったかというと、2017年3月7日時点の時点でシグネチャの対応が済んでいたということです。国内の多くのサイトが情報を入手する前に、既に脆弱性に対応していたというのは迅速な対応ですばらしいと思います。

Apache Struts2の脆弱性(S2-045)を狙った攻撃が確認されています。
この脆弱性を悪用することで、リモートから任意のコマンドが実行される恐れがありますので(中略)

なお、「SiteGuard」シリーズでは、最新のトラステッド・シグネチャ(2017/3/7リリース)で、該当の脆弱性を悪用した攻撃に利用されるパターンを検出します。

Apache Struts2の脆弱性を狙った攻撃と「SiteGuard」シリーズの対応 | 株式会社ジェイピー・セキュア

いくらセキュリティ対応に迅速な組織でも、ここまで早くアプリケーションの改修を済ませてリリースすることはできないでしょうし、サイトを落とす方法もありますがビジネスチャンスを逃すでしょうから、迅速な一次対応は WAF にまかせて、根本対応はその後行うというスタイルが普及していくのではないでしょうか。

昔は、Web アプリケーションの脆弱性対策ができていれば WAF は不要という論調もあったようですが、最近の WAF は使い勝手が上がっているようですし、導入も簡単なので WAF は必須のセキュリティ要件になる日もそう遠くない気がしています。

ところで、「たとえば Struts 2を使わない」という話題も出ていますが、これからの Web アプリケーションはこれでいいですが、既存の Web アプリケーションはそういう訳にもいかないですから、ますます WAF が重要になりそうですね。

とりあえず、さくら VPS で SiteGuard Lite が無償で使えているので、さくらインターネットは いい仕事したな、と思った次第です。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA