1. Not CVE-2013-XXXX
strutsと愉快な脆弱性達 続編の続編
ただのバグだったよ

2. 自己紹介
Twitter:abend@number3to4
Webアプリケーションのセキュリティをメインでやってます。

3. はじめに
この話は
未知の脆弱性を見つけようと思いたち、見つけたナニカが脆弱性
になるのではと通報したが、脆弱性じゃねーよと言われるまでの
3か月間のたいしてオチのない物語である。
ただ、今後のセキュリティに少しでも助けとなることを願い、
公開するものである。

4. きっかけは
2013年7月16日に公開されたstruts2.3.15以前に存在するS02-16（CVE-2013-2251）
やS02-005（CVE-2010-1870）など様々な脆弱性が報告されています。
＜参考＞
CVE-2010-1870：http://www.slideshare.net/abend_cve_9999_0001/cve20101870
CVE-2013-2251：http://www.slideshare.net/abend_cve_9999_0001/cve-20132251
もしかして、まだまだあるんじゃないの？
じゃあ、探してみるか。

5. じゃあ、どうする？1
ソースコードでも見てみるか。
2.3.15.1は、ファイル数4188 サイズ17.8MB
見たいけど

6. じゃあ、どうする？2
だったら、ある程度あたりをつけて、ソースコードを読もう！！
どうあたりをつける？
ユーザからの入力を受け付けているところを漁ってみる。

7. じゃあ、どうする？3
キーワード「input」で、拡張子をjavaに限定して検索してみる。
まだまだ多いって

8. じゃあ、どうする？4
だけど、無理なものは無理だって

9. じゃあ、どうする？5
なので、もっと絞り込むため、S02-16に倣って、同じようなところから
探ってみる。
S02-16は、org.apache.struts2.dispatcher.mapper.DefaultActionMapperが
原因で「action:」、「redirect:」、「redirectAction:」にセットされた値
のチェックが行われず、OSコマンドを実行してしまう。
＜参考＞
CVE-2013-2251：http://www.slideshare.net/abend_cve_9999_0001/cve-20132251
org.apache.struts2.dispatcherパッケージに含まれているプログラムを
中心に見ていこう。

10. じゃあ、どうする？6
S02-16は、DefaultActionMapperに以下の変数定義がされ、処理に問題が
あったので・・・
protected static final String METHOD_PREFIX = "method:";
protected static final String ACTION_PREFIX = "action:";
protected static final String REDIRECT_PREFIX = "redirect:";
protected static final String REDIRECT_ACTION_PREFIX = "redirectAction:";
文字列として定義されている箇所がほかにもあるか探してみることにした。
※文字列の変数定義が悪いという訳ではなく、特別に処理されるHTTP
パラメータなどが存在するかあたりをつけるために探すことにした。

11. Let’s Try it!!1
まずは8ファイルを中心に見てみました。

12. Let’s Try it!!2
DefaultActionMapperに気になる箇所があった。
put(ACTION_PREFIX, new ParameterAction() {
public void execute(String key, ActionMapping mapping) {
String name = key.substring(ACTION_PREFIX.length());
if (allowDynamicMethodCalls) {
int bang = name.indexOf('!');
if (bang != -1) {
String method = name.substring(bang + 1);
mapping.setMethod(method);
name = name.substring(0, bang);
}
}
mapping.setName(cleanupActionName(name));
}
});
なんで、「!」の出現場所でチェックしているのだろうか？？

13. Let’s Try it!!3
ほかにも。
protected ActionMapping parseActionName(ActionMapping mapping) {
if (mapping.getName() == null) {
return null;
}
if (allowDynamicMethodCalls) {
// handle "name!method" convention.
String name = mapping.getName();
int exclamation = name.lastIndexOf("!");
if (exclamation != -1) {
mapping.setName(name.substring(0, exclamation));
mapping.setMethod(name.substring(exclamation + 1));
}
}
return mapping;
}

14. Let’s Try it!!4
HTTPで「!」ってあんま見ない。
RFC2616 Hyper Text Transfer Protocol
3.2.2 http URL
http_URL = "http:" "//" host [ ":" port ] [ abs_path [ "?" query ]]
という訳で、「!」がどういう使われ方をしているか調べてみることにした。

15. Let’s Try it!!5
「!」だけで、ソース内検索すると悲劇しか起こらない。
コメントに「<!-- -->」に使われるため、すべてのプログラムに引っかかって
しまうため、デスマーチになってしまう。

16. Let’s Try it!!6
という訳で、文字列または文字として「!」を使っている箇所を探す
ことに。
具体的には、「”!”」と「’!’」の使われている箇所を探してみた。

17. Let’s Try it!!7
「”!”」と「’!’」の検索結果
RestActionInvocation.java
TagFileProcessor.java
ResolverUtil.java
DOTRenderer.java
Jsr168Dispatcher.java
RestActionMapper.java
JspRuntimeLibrary.java
ParserController.java
ELParser.java
PackageConfig.java
TimerInterceptor.java
ActionChainResult.java
PropertiesReader.java
DefaultActionMapper.java
OsgiUtil.java
PortletUrlHelper.java
RestActionMapper.java
17ファイルがヒットしたので、詳細調査を行うことに。

18. Let’s Try it!!8
２つの方法で詳細な調査を試してみました。
① ホワイトボックス的手法・・・ソースコード読みながら探ってみる。
② ブラックボックス的手法・・・Webアプリケーション診断やファジング
※ XX的手法と表現しているのは、プライベートでやっていたので体系化
されておらず独自手法のため、このような表現としています。

19. やっちまおうぜ1
①ホワイトボックス的手法
DefaultActionMapper.java、RestActionMapper.javaに共通して「name!method」
が含まれていた。
「name!method」って、なんなんだろうと思ったので、これを調べて
みることに。

20. やっちまおうぜ2
「name!method」 は、Dynamic Method Invocationといわれるものだった。
Dynamic Method Invocationって？

21. やっちまおうぜ3
Dynamic Method Invocation（DMI）って
There's a feature embedded in WebWork 2 that lets the "!" (bang) character invoke a method other than execute. In WebWork, it doesn't really have a name. During
the S2 discussions, we coined the term "dynamic method invocation" to describe how WW/S2 use the bang notation.
Dynamic Method Invocation (DMI) will use the string following a "!" character in an action name as the name of a method to invoke (instead of execute). A reference
to "Category!create.action", says to use the "Category" action mapping, but call the create method instead.
For Struts 2, we added a switch to disable DMI for two reasons. First, DMI can cause security issues if POJO actions are used. Second, DMI overlaps with the
Wildcard Method feature that we brought over from Struts 1 (and from Cocoon before that). If you have security concerns, or would like to use the "!" character with
Wildcard Method actions, then set struts.enable.DynamicMethodInvocation to FALSE in the application configuration.
The framework does support DMI, just like WebWork 2, but there are problems with way DMI is implemented. Essentially, the code scans the action name for a "!"
character, and finding one, tricks the framework into invoking the other method instead of execute. The other method is invoked, but it uses the same configuration as
the execute method, including validations. The framework "believes" it is invoking the Category action with the execute method.
The Wildcard Method feature is implemented differently. When a Wildcard Method action is invoked, the framework acts as if the matching action had been hardcoded
in the configuration. The framework "believes" it's executing the action Category!create and "knows" it is executing the create method of the corresponding Action
class. Accordingly, we can add for a Wildcard Method action mapping its own validations, message resources, and type converters, just like a conventional action
mapping. For this reason, the Wildcard Method is preferred.
http://struts.apache.org/release/2.1.x/docs/action-configuration.html

22. やっちまおうぜ4
簡単に言うと・・・
「Categoly」+「!」+「Method」という形で、「Categoly」で定義されている
「Method」を呼び出すことができるような仕組み
Categoly:「employee」
Method:
「create」
Method:
「delete」
Categolyである「employee」にMethodである「create」、「delete」が定義されて
おり、 「create」を実行した場合に以下へのアクセスで処理を実行する。
http://server/employee!create

23. やっちまおうぜ5
「Categoly」+「!」+「Method」の「Method」が任意に指定できたら？？
結構、やばくない？
っていうことで、DMIをターゲットに。
「!」って英語だとbangっていうんだね。

24. やっちまおうぜ6
なので、サンプルでDMIを使っている箇所を探すことに・・・
※サンプルで試す理由は、自分でDMIを実装した場合、自分の作りが悪いのか
脆弱性なのかの評価が必要となるため。
いろいろと探したところ、「Person Manager」－「Create a new person」
で使われていることをハッケーン！！

25. やっちまおうぜ7
②ブラックボックス的手法
Webアプリケーション診断とファジングを行う。
Webアプリケーション診断って？
http://www.slideshare.net/abend_cve_9999_0001/web-22186183
ファジングって？

26. やっちまおうぜ8
ファジングって？
アプリケーションの不具合を発見するための手法の一つで、様々な値を対象と
なるアプリケーションに送り、エラーを発生させ、その内容から不具合を検出
する。
・大量の文字列を送信
・境界値の送信（-1、0、255、256など）
・特定の文字（0Aや0Dなど）
etc…
IPA
http://www.ipa.go.jp/security/vuln/fuzzing.html
Taofというファジングツールが紹介されています。

27. やっちまおうぜ9
Taofの画面ってこんな感じ。。。
Taofの使い方は、IPAの資料参照してください。

28. やっちまおうぜ10
ソースを見た際にポイントとした「!」をベースに3パターンでファジング
① http://server/person/new-person!input.action
② http://server/person/new-person!input.action
③ http://server/person/new-person!input.action

29. やっちまおうぜ11
結果は、3.16Mになった。
出力された結果をどう評価すればいいのだろうか・・・。

30. やっちまおうぜ12
ポイントはInternal Server Error（500エラー）。
理由は・・・
アプリケーションが異常終了しているから。。。
異常終了しているということは、アプリケーションの制御に問題が
ある可能性があるから。

31. やっちまおうぜ13
500エラー、結構発生しています。
http://server/person/new-person!aにアクセスすると

32. やっちまおうぜ14
Taofでできることは、ここまでなので次のフェーズへ
続いては、Webアプリケーション診断の知識を生かした疑似攻撃。
まずは、様々な記号を入力してみて、エラーがどう出るのか試してみる。

33. やっちまおうぜ15
色々と試した結果、これまでとエラーの出方が変わるパターンを発見！！
http://server/person/new-person!!aにアクセスすると・・・

34. やっちまおうぜ16
？？？？
なぜ、ActionSupport.a()を呼び出そうとしてエラーに？？
もしかして、別のクラスの関数を呼び出してるんじゃ？？

35. やったぜ
ま、まさか、糸口発見か！？
ヒャッハーー！！

36. 脆弱性見つけた？1
そんなわけで、ソースを見てみることにした。
public class NewPersonAction extends ActionSupport {
private static final long serialVersionUID = 200410824352645515L;
@Autowired
private PersonManager personManager;
private Person person;
public String execute() {
personManager.createPerson(person);
return "list";
}
～～～
一部省略 ～～～
}
extendsしているクラスを呼び出そうとしていたのでは？

37. 脆弱性見つけた？2
じゃあ、次にActionSupportのソースを見てみた。
public class ActionSupport implements Action, Validateable, ValidationAware, TextProvider,
LocaleProvider, Serializable {
public boolean hasFieldErrors() {
return validationAware.hasFieldErrors();
}
public String execute() throws Exception {
return SUCCESS;
}
public boolean hasKey(String key) {
return getTextProvider().hasKey(key);
}
public ResourceBundle getTexts() {
return getTextProvider().getTexts();
}
}
※ソースから一部抜粋

38. 脆弱性見つけた？3
public boolean hasFieldErrors()
http://server/person/new-person!!hasFieldErrors
引数がなく、戻り値がboolean型だとCASTエラーが発生している。

39. 脆弱性見つけた？4
public String execute()
http://server/person/new-person!!execute
executeでは404エラーだ
が、executeaだと500エ
ラーに変化。
http://server/person/new-person!!executea
戻り値（String型）だと
処理を行い、表示しよ
うとしたがコンテンツ
が存在しなくてエラー
と推測。

40. 脆弱性見つけた？5
public void addActionError(String anErrorMessage)
http://server/person/new-person!!addActionError
引数の指定の仕方が特定できなかった。そのため、引数のないaddActionError
は存在しないというエラーと思われる。

41. 脆弱性見つけた？6
public void clearFieldErrors()
http://server/person/new-person!!clearFieldErrors
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Content-Length: 0
Date: Wed, 25 Sep 2013 22:56:15 GMT
戻り値、引数のない関数を指定すると200OKとなるが、レスポンスボディは
0で、何も表示されない。挙動の違いから、関数が処理されたと推測される。

42. 脆弱性見つけた？7
public ResourceBundle getTexts()
http://server/person/new-person!!getTexts
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Content-Length: 0
Date: Wed, 25 Sep 2013 23:37:50 GMT
戻り値がResourceBundleだが、200OKであるため、処理されたと思われる。
ある程度、状況が分かったので次のステップへ。

43. 脆弱性見つけた？8
＜検証時に分かったこと＞
・ActionSupportの関数を呼び出せた（と思う）。
→片っ端からソースを見て回ったが、原因の特定に至らず。
→呼び出せたかもしれないが、引数の必要な関数は無理だった。
→戻り値がString型は呼び出せた（と思う）。
任意のクラスの関数の呼び出しはうまくいきませんでした。
呼び出せる関数が限定的であったが、任意のクラスを呼び出すことが
不可能であるというevidenceは見つからなかった。
！！って入力したら、本当にびっくりするような事案が発生。

44. 脆弱性見つけた？9
呼び出せる関数が限定的であったが、任意のクラスを呼び出すことが
不可能であるという確証もないので・・・
リスクがあると判断し、所定の手続きへ。

45. 通報してみたんです1
IPAの脆弱性情報の受付へ通報してみました。

46. 通報してみたんです2
内容の精査し、脆弱性なのかバグなのか判定して、結果を改めて
連絡するよって返信がありました。
ただ、8:39にメールして、10:18に返信があったけど、自動応答メールなんだ。

47. ある日の出来事1
1回メールのやりとりをした後は、特になにもないまま平凡な日々を過ごして
いましたが・・・
strutsでセキュリティFIXに伴う2.3.15.2がリリースされていたことを知る。
※11/9時点で最新は2.3.15.3
内容を見てみると2つのセキュリティFIXが存在するとのこと。

48. ある日の出来事2
S2-018、S2-019という管理番号が付けられたものです。
①「action:」の処理に問題があり、セキュリティの制約を迂回できる。
②DMIにセキュリティ上の問題がある。
DMIって、つい最近見たような・・・
まさか、報告したものが脆弱性として修正された？
ラブストーリー並みに突然な出来事
って思ったが、あとで無関係であること知ることになる。

49. 直したそうです1
DMIにセキュリティ上、問題のある機能だが、デフォルトでONになってたから
オフってね的なことが書かれている。

50. 直したそうです3
Vulnerabilities have been discovered in Apache
Struts which could allow remote code
execution. Apache Struts is an open source,
model-view-controller (MVC) framework used
for building Java web applications. Successful
exploitation could result in an attacker executing
arbitrary code in the context of affected
application. Depending on the privileges
associated with the application, an attacker
could then install programs; view, change, or
delete data; or create new accounts with full user
rights.
実行権限にもよるが、プログラムをインストールされたり、変更されたり、
消されたりと色々できちゃうよ。

51. 直したそうです4
2.3.15.2で試してみました。
DMIを使っていた箇所にアクセスすると404エラーとなる。

52. 直したそうです5
元々どんな感じだったのか。
「!」に関する修正は、DefaultActionMapperでしか確認ができず。
～～ 略 ～～
protected boolean allowDynamicMethodCalls = true;
～～ 略 ～～
public void execute(String key, ActionMapping mapping) {
String name = key.substring(ACTION_PREFIX.length());
if (allowDynamicMethodCalls) {
int bang = name.indexOf('!');
if (bang != -1) {
String method = name.substring(bang + 1);
mapping.setMethod(method);
name = name.substring(0, bang);
}
}
mapping.setName(cleanupActionName(name));
}
～～ 略 ～～
注）すべてのソースでdiffをとった訳ではないので漏れの可能性もあります。

53. 直したそうです6
どんな修正したのか。
～～ 略 ～～
protected boolean allowDynamicMethodCalls = false;
～～ 略 ～～
public void execute(final String key, ActionMapping mapping, HttpServletRequest request) {
if (request != null && request.getAttribute(STRUTS2_ACTION_PREFIX_PARSED) == null) {
request.setAttribute(STRUTS2_ACTION_PREFIX_PARSED, true);
String name = key.substring(ACTION_PREFIX.length());
if (allowDynamicMethodCalls) {
int bang = name.indexOf('!');
if (bang != -1) {
変わった訳ではないが
String method = name.substring(bang + 1);
mapping.setMethod(method);
ここがポイント！！
name = name.substring(0, bang);
}
}
String actionName = cleanupActionName(name);
mapping.setName(actionName);
if (getDefaultExtension() != null) {
actionName = actionName + "." + getDefaultExtension();
}
mapping.setResult(new ServletDispatcherResult(actionName));
}
}
～～ 略 ～～

54. バグだったよ
脆弱性として認められたかと思ったが、後日以下の内容（抜粋）の
メールが来ました。
・ActionSuppotクラスの一部メソッド（引数なし、返値なし）だけしか
呼べないのであれば、被害は生じない。
・ただし、ActionSupportクラスの将来的な仕様変更による潜在的な
リスクがあるため、参考情報とする。

55. まとめ
結果的に、脆弱性ではないバグを1件発見して終わった。
今度こそ、大物が出てくるように精進します。