EhostIDC, Apache Struts2 취약점 공격 관련 탐지패턴 공유

안녕하세요, 이호스트IDC 영업1팀입니다.

아파치는 웹서비스를 이용할때 가장 많이 사용하고 있는 프로그램중 하나 입니다. 

웹 서비스는 사업을 시작하는 분들이나 일반 회사에서 필수가 되어 많은 사람들이 사용을 하고 있습니다.

웹 서비스를 사용하고 있는 고객분들은 아래 취약점 공격 관련 탐지패턴 공유 권고를 참고하셔서 안정적인 서비스를 이용하시기 바랍니다.

감사합니다.

[KISA] Apache Struts2 취약점(CVE-2017-5638) 공격 관련 탐지패턴 공유

귀사의 발전을 기원합니다.

한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911~4, certgen@krcert.or.kr)입니다.

우리원은 민간분야 인터넷침해사고(해킹,웜바이러스등) 예방 및 대응활동 등을 수행하고 있습니다.
 - 정보통신망이용촉진및정보보호등에관한법률 제47조의4(이용자의 정보보호)
 - 정보통신망이용촉진및정보보호등에관한법률 제48조의2(침해사고의 대응 등)
 - 정보통신망이용촉진및정보보호등에관한법률 제49조의2(속이는 행위에 의한 개인정보의 수집금지 등)
 - 정보통신망이용촉진및정보보호등에관한법률 시행령 제56조(침해사고 대응조치-접속경로 차단요청)

최근 Apache Struts2 취약점(CVE-2017-5638)을 악용한 공격이 확인되어 관련 정보를 보내드립니다.

 

 - (취약점 내용) jakarta 플러그인을 이용하여 파일 업로드를 처리할 때 원격에서 임의의 코드를 실행할 수 있는 취약점으로, HTTP Request 헤더의 Content-Type값을 변조하여 원격 코드 실행 가능

 

 - (영향받는 버전) Apache Struts 2.3.5 ~ 2.3.31 버전, Apache Struts 2.5 ~ 2.5.10 버전

 

 - (탐지패턴)  alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"F-INV-APP-170307-ApacheStruts_remote_codeexecution_attempt"; flow:to_server,established; content:"Content-Type: %"; content:"com.opensymphony.xwork2.ActionContext.container"; nocase; content:"POST"; offset:0; depth:4; metadata:impact_flag red, service http; reference:cve,2017-5638; reference:url, seebug.org/vuldb/ssvid-92746; classtype:attempted-admin; rev:1;)

 

위 관련하여 각 기관에서는 보안관제시스템에 탐지패턴을 등록하여 모니터링에 만전을 기해주시고,

 

한국인터넷진흥원 보호나라 홈페이지(http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25264) 내용을 참고하여 최신 업데이트 해 주시기 바랍니다.

 ※ 고객사에도 관련 내용 전파 부탁 드립니다.

아울러 위 탐지패턴 이외에도 새로운 패턴이 발견되면 한국인터넷진흥원에 공유 부탁드립니다.

문의사항은 한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911~4, certgen@krcert.or.kr)로 연락주시기 바랍니다.

감사합니다.

보다 안정적인 국내외 서버 및 IDC를 원하시면 정답은 이호스트데이터센터에 있습니다.

 

서비스문의
◎ IDC영업팀  :  070-7600-7311 (3095)	◎ 메일주소  :  request@ehostidc.co.kr
◎ 카카오톡 플러스친구  :  @이호스트데이터센터 ( 또는 '이호스트' 검색)
◎ 스카이프  :  ehostIDC Hosting Manager
◎ 서비스신청하기  :  http://cc.ehostidc.co.kr/index.php?/cart/