おふとん

IT全般、セキュリティとかCTFとかに偏りがち

S2-057(CVE-2018-11776)に関する攻撃の観測

ハニーポットでS2-057(CVE-2018-11776)に関する通信の検知がいくつか来ていたので記事書きます。
現状では任意コマンド実行は公開されているPoC以外無し。


一番見るタイプ。この通信に限って言えばshowcaseをリダイレクトする人はまず居ないので無害。


全てURLエンコーディングしたもの、復号すると${1+1}でこれでも脆弱な環境では通ります。
また興味深いのは/tags/non-ui/mergeIteratorTag/showMergeTagDemo.actionに投げている点です。
S2-057はredirectActionを使う方法が広まっていますがある中国の方のサイトではsタグを使った方法も紹介されてありそちらを狙ったものみたいです。
結局はshowcaseプロジェクトでもデフォルトでは動作しなかったので問題はなさそうです。
数件、この手の攻撃が別ホストから来ていたのでどこかの記事で検証用に改修例で上げたんですかね。

今のところ明確にS2-057だと判断出来る通信が来たのは
/showcase/showcase.action
/showcase/actionChain1.action
/showcase/actionchaining/actionChain1
/showcase/tags/non-ui/iteratorGeneratorTag/showGeneratorTagDemo.action
/help.action
/index.action
/
くらい、つまりは検証のために改修してそのまま公開の人狙い()か、原理を理解してないかのどちらか。
どこかにredirectActionがデフォルトで設定されているそこそこ有名なプロジェクトとかなかったのかな、help.actionが少し怪しいです。

調査通信は先にshowcase/struts/utils.jsを踏んでくることが多いですがshowcase決め打ちでversion特定出来るのかな...
また足し算はかなりの数が来ましたが他の四則演算は見なかった気がします。

あとこれは本当なのか検証したい

<追記>
足し算以外の計算系来た!思ったら凄く優しい方でした...
よく見たらPoCをそのまま使っただけっぽい?