JSOCアナリストグループリーダーの賀川です。
先日、注意喚起をいたしました記事「Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について」において、Apache Struts 2 における任意のコードが実行できる脆弱性(S2-045、CVE-2017-5638)の攻撃について、大規模かつ重要インシデントが発生していることをお伝えしました。
その後、1週間ほど経過した現在においても攻撃は増加傾向にあり、引き続き重要インシデントが発生しています。
本脆弱性を悪用した攻撃の発生状況などについての続報を本ページにてお知らせいたします。
前回、JSOCでは3月7日頃より、この脆弱性を悪用した攻撃が増加傾向にあることをお伝えいたしました。その後は爆発的な増加などではないものの、継続して多数の攻撃が行われている状況です。
攻撃の検知内容としては、多くはコマンド実行を試みるものでしたが、3月9日以降、非常に重大な被害に繋がる恐れのある攻撃(Web サイトにバックドアの設置行う攻撃など)を検知するケースも増加しており、注意喚起の公開以降についても、重要インシデントが複数のお客様環境で発生している状況です。
JSOCインシデント通知件数の推移
(右軸が重要インシデント件数、左軸が攻撃失敗を確認したインシデント件数)
重要インシデントは3月9日をピークに減少傾向となっています。
これは、注意喚起や、公開されております各種被害事例などに基づいて対策が進められた結果ではないかと推測しています。
対して、攻撃の件数自体は3月10日に検知可能なシグネチャが追加になったということもありますが、増加傾向にあり、その後も継続して多数の攻撃が行われていることがわかります。
攻撃手法や概要などについては、前回記事を参照ください。
また、一部の攻撃についてIDS/IPSによる検知を避けようとするような試みが見受けられるなど、攻撃手法も変化しておりますため、根本的な対策であるバージョンアップを改めて推奨いたします。