一般社団法人JPCERTコーディネーションセンターから、Apache Tomcatに関する脆弱性が発表されました。

今回発表された脆弱性の詳細と対策について、ご報告いたします。

本記事はこちらよりPDFにてご覧頂けます。

注意喚起:Apache Tomcat における脆弱性について

 

1. 概要

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)から Apache Tomcatに関する脆弱性が発表されました。脆弱性(CVE-2017-12615, CVE-2017-12617)では、攻撃者がリクエストを細工してファイルをサーバにアップロードし、任意のコードを実行される恐れがあります。また、脆弱性(CVE-2017-12616)では、悪意のあるリクエストを受け付けると、ソースコードを攻撃者に閲覧される可能性があります。これらの脆弱性を突く攻撃から情報資産を守るためにも早急に対策を実施する必要があります。

 

2.     脆弱性詳細情報

 ⑴ 説明

  ① CVE-2017-12615, CVE-2017-12617

   HTTP PUTメソッドが有効になっており、且つreadonlyパラメータがfalseになっている状態で、攻撃者がHTTPリクエストを細工することによってJSPファイルをサーバにアップロードし、遠隔で任意のコードを実行される可能性があります。尚、CVE-2017-12615はWindowsのみの影響とされていましたが、CVE-2017-12617では、Windows以外のOSでも、脆弱性の影響を受けることが報告されています。

【図1】 CVE-2017-12615 攻撃イメージ図

  ② CVE-2017-12616

           VirtualDirContextを使用している場合、攻撃者によって細工されたリクエストを受け付けると、セキュリティ制限をバイパスされ、JSPソースコードを閲覧される可能性があります。

 ⑵ 対象

  下記バージョンの Apache Tomcat が本脆弱性の影響を受けます。

  - CVE-2017-12615

  - Apache Tomcat 7.0.0 から 7.0.79

  - CVE-2017-12616

  - Apache Tomcat 7.0.0 から 7.0.80

  - CVE-2017-12617

  - Apache Tomcat 7.0.0 から 7.0.81

 

 ⑶ 対策

  Apache Software Foundation より、修正済みのバージョンが提供されています。

  - Apache Tomcat 7.0.82

  ※修正済みのバージョンを適用することを推奨いたします。

   

 ⑷ 参考情報

 ■Apache Software FoundationFixed in Apache Tomcat 7.0.82

    ■JPCERT/CC Apache Tomcat における脆弱性に関する注意喚起    

    ■JVN Apache Tomcat の複数の脆弱性に対するアップデート

     

3. IPSとセキュリティ監視サービスを活用した脆弱性対策

 今回のような、システムの脆弱性を狙った攻撃にはIPS等のセキュリティ製品の設置とセキュリティ監視サービスの導入が効果的です。SecureSoftでは、巧妙化する攻撃に対応可能なIPS(SecureSoft Sniperシリーズ)と、不正イベントを24時間365日監視するサービス(Security O.K Service)を提供しています。

 SecureSoft Sniperシリーズ(以下、Sniper)とは、ネットワークを通過するパケットに対して、様々な角度から詳細な分析を行い、攻撃を検知・遮断する事ができる「防御」のための不正侵入検知・防御システムです。

 Security O.K Service(以下、S.O.S)とは、最新の相関分析システムとセキュリティアナリストによる高度な分析、迅速なインシデント対応、分析結果を記載した月次レポートの提供によりお客様に安心してご利用いただけるセキュリティ監視サービスです。

  システムの脆弱性が見つかってバージョンアップなどのシステム更新が必要でも早急に対応できない場合に、SniperとS.O.Sを組み合わせた多層防御は有効です。

 

     

 

【図2】 SniperとSecurity O.K Serviceの関連図

 

 ■SecureSoft Sniper シリーズ

 ■Security O.K Service

 

4. Sniperの対策シグネチャ緊急リリース

 Sniperは、今回の脆弱性に対するシグネチャを9月29日付けでリリースいたしました。

今回、リリースしたシグネチャは下記の通りです。

 ■CVE-2017-12615, CVE-2017-12616対応

シグネチャコード

シグネチャ名

3723

Apache Tomcat VirtualDirContext Information Disclosure

3724

Apache Tomcat VirtualDirContext Information Disclosure.A

3725

Apache Tomcat VirtualDirContext Information Disclosure.B

3726

Apache Tomcat VirtualDirContext Information Disclosure.C

 

 ■CVE-2017-12617対応

シグネチャコード

シグネチャ名

3727

Apache Tomcat DefaultServlet PUT method File Upload

3728

Apache Tomcat DefaultServlet PUT method File Upload.A