ソフトウェアの世界でも、「古い」=「なくなった」ではないようです。Hackread.comと共有されたレポートで、Sonatypeのサイバーセキュリティ研究者は、すでに大幅に旧式となったApache Strutsのバージョンのダウンロードが急増していることを明らかにしました。
問題となっているのは、CVE-2025-68493と呼ばれる特定の欠陥です。この発見がユニークなのは、その見つかり方にあります。Apache Strutsのセキュリティ情報(S2-069)によると、自律型AIセキュリティ研究システムであるZast AIによって特定されました。
ご存じのとおり、AIはいまや人間よりも速いペースでバグを狩り出しています。これは諸刃の剣で、穴を見つけてくれる一方で、誰かに悪用される前に組織が対応する時間をほとんど与えてくれません。
実際に何が壊れているのか?
Sonatypeの研究者によると、問題はXWorkコンポーネントにあります。これはソフトウェアがデータを処理するのを助ける主要エンジンで、欠陥は「安全でないXML解析」、つまりソフトウェアが命令を読み取る方法に関わるものです。
研究者はブログ記事で、「本当のリスクは公開時に生じるのではなく、知ってから実際に運用中のものを変更するまでの遅れの間に生じる」と述べています。
さらに調査すると、攻撃者は凄腕のスパイである必要も、コンピュータを完全に掌握する必要もないことが分かりました。「細工された入力」を送ることで、システムを無限ループに陥らせ、CPUとメモリを食い尽くしてクラッシュさせることができます。Webサーバーにとってのデジタルな心筋梗塞です。この欠陥は2.0.0から6.1.0までの非常に広い範囲のバージョンに影響し、深刻度スコアは8.8と高い値です。
「死んだソフトウェア」問題
本当に衝撃的なのは、リスクの規模です。わずか1週間で38万7,000人以上がこれらの脆弱なバージョンをダウンロードしており、そのうち実に98%がサポート終了(EOL)版でした。
これにはStruts 2.3のようなバージョンが含まれ、公式アップデートが2,200日以上提供されていません。これらを使用している場合、開発元は何年も前にサポートを打ち切っているため、あなたを救う公式パッチは提供されません。
対策
さらなる調査により、安全なバージョンであるStruts 6.1.1は利用可能であるものの、まだほとんど使われていないことが分かりました。この新バージョンには、これらの攻撃を遮断するための「より厳格なパーサーの強化」が含まれています。現時点では、同期間のダウンロードのうち安全版は約1.8%(6,243回)にとどまっています。
研究者は、これらの旧バージョンが企業システムに「深く組み込まれて」おり、時限爆弾になっていると指摘しました。6.1.1より前のすべてのバージョンは危険だと考えるべきです。開発者や事業者であれば、今すぐバージョンを確認してください。修正できる猶予は急速に狭まっています。
翻訳元: https://hackread.com/years-old-vulnerable-apache-struts-2-downloads/
