デシリアライゼーションの脆弱性にパッチを適用することの難しさ

先週、Equifaxのデータ侵害の背後にある可能性のある原因が、Apache Struts RESTプラグインの脆弱性であることが報告されました。このプラグインの古いバージョンは、XStream ハンドラーと一緒に使用して XML ペイロードを処理すると、リモートコード実行攻撃を受けやすくなります。原因は以下のとおりです。 信頼できないデータの逆シリアル化これはよく知られている脆弱性タイプです。この脆弱性は、正式には以下のように認識されています。 CVE-2017-9805、Strutsバージョン2.5.13で9月5日にApacheによってパッチが適用されました。その時はそうだった 発表された そして 明確に文書化されている Apache Struts のドキュメントにあります。

最新の Struts バージョンにアップグレードするだけでこの攻撃からアプリケーションを保護できるのに、なぜ企業はすぐにアップグレードしないのでしょうか。逆シリアル化の脆弱性の問題は、悪用されるルーチンが、アプリケーションコードが依存しているルーチンであることが多いことです。この場合、新しい Struts パッチを適用すると、次のような副作用が生じる可能性があります。 ドキュメンテーション 脆弱性には、「使用可能なクラスにデフォルトの制限が適用されているため、一部のRESTアクションが機能しなくなる可能性があります」と記載されています。アプリケーションが新しいバージョンの Struts で動作し続けることを確認するには、かなりの時間がかかる可能性があります。

ただし、ハッカーが公開されている脆弱性を悪用し始めるのにそれほど時間はかからず、すでにいくつかの悪用が見られます。 公開された。メタスプリット モジュール が9月8日に追加されました。これは、Apacheが脆弱性にパッチを適用してから3日後のことです。パッチを延期するのは明らかに良い考えではありません。

解決策は、Apacheが提案した回避策を実装することです。これはより短い時間枠で実行できます。この回避策を実施したり、自動的に適用したりするための設定可能なコーディングガイドラインを備えたセキュリティツールがあれば、このプロセスを大幅にスピードアップできます。

信頼できないデータの逆シリアル化を含むコードを識別して保護する方法について詳しく知りたいですか？詳細については、セキュア・コード・ウォリアー・ポータルをご覧ください。 説明とトレーニングチャレンジ。

この脆弱性は、Strutsがそのようなデータを解析して、Javaプログラミング言語で解釈できる情報に変換する方法に関係しています。この脆弱性の悪用に成功すると、そのようなデータの中に悪意のあるコードが隠され、Struts が変換を試みたときに実行される可能性があります。

https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/