Struts 2 方面

・JETROもApache Struts2脆弱性で被害か、メールアドレス2万件超窃取 (03/13)

　http://itpro.nikkeibp.co.jp/atcl/news/17/031300794/

・GMO 72万件流出危機の原因、Struts2に「意のままに操られる」深刻な脆弱性 (03/11)

　http://itpro.nikkeibp.co.jp/atcl/column/14/346926/031000880/

・Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について (03/10)

　https://www.lac.co.jp/lacwatch/alert/20170310_001246.html

「

このような通信はSSLアクセラレータを設置するなど、何らかの復号措置を取っている環境でない場合、IDS/IPS等のネットワーク上で脅威に対応するような製品では、検知することが困難です。SSL/TLS経由でサービスを提供されているシステムを運用されている場合には、特に脆弱性による影響の有無を充分ご確認ください

…

このほか、今回の脆弱性を悪用する攻撃コードは、一般的な「リクエスト URL」ではなく、「Content-Type」という HTTP ヘッダに挿入されます。そのため、ログの取得設定にも依存いたしますが、Web サーバのログに攻撃の証跡が記録されない可能性が高い ... WAFなどを導入されている環境では ...「異常なContent-Typeヘッダ」として検出されている可能性がありますので、WAFのログをご確認いただくことをお勧め

…

さらに ... 一見存在しないファイルに攻撃が行われている場合でも、リクエスト URL に指定されたパスで脆弱なバージョンの Apache Struts 2が稼働している場合には、攻撃の影響を受ける

」

防御策がIDS/IPSのみの場合は、IDS/IPS上でいったん複合する（ネットワークの一部に平文を流す事も許容する）システム化が必要か。

WAFを販売するベンダーさんは商機と思うが、事例紹介は見当たらないなぁ。

・例えば、Strutsを避ける (2014/04/23)

　https://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html

『StrutsではOGNLを原因とした脆弱性が何度も見つかっています。「同じタイプの脆弱性をだらだら繰り返す」という、典型的な「セキュリティ的にダメな」ソフトウェアと言える』

Struts系の事故が終息しないのは、セキュリティ情報収集していない、メンテナンスしていない、ベンダー契約でStruts前提、システム連携等でStrutsから変えられない、ベンダー乗り換え出来ない、保守契約を未締結／解約した、メンテナンス停止が許されない／停止時間（パッチ適用）見積もり出来ない／検証環境が無い、、、など組織体制的な問題もありそうだなぁ

・関連
　http://akasaka-taro.blogspot.jp/2017/03/apache-struts2-smb-v3.html