التصحيح الآن: استغلال النشاط المتزايد لخلل Dangerous Apache Struts 2

هناك مخاوف كبيرة بشأن ثغرة أمنية حرجة تم الكشف عنها مؤخرًا في تنفيذ التعليمات البرمجية عن بُعد (RCE) في Apache Struts 2 والتي كان المهاجمون يستغلونها بنشاط خلال الأيام القليلة الماضية.

Apache Struts هو إطار عمل مفتوح المصدر يستخدم على نطاق واسع لبناء تطبيقات Java. يمكن للمطورين استخدامه لبناء تطبيقات ويب معيارية بناءً على ما يُعرف ببنية Model-View-Controller (MVC). مؤسسة برمجيات أباتشي (ASF) كشف الخلل في 7 كانون الأول (ديسمبر) وأعطاه تصنيفًا أقصى خطورة تقريبًا يبلغ 9.8 من 10 على مقياس CVSS. الثغرة الأمنية، تعقبها CVE-2023-50164 يتعلق الأمر بكيفية تعامل Struts مع المعلمات في عمليات تحميل الملفات ويمنح المهاجمين طريقة للتحكم الكامل في الأنظمة المتأثرة.

مشكلة أمنية منتشرة على نطاق واسع تؤثر على تطبيقات Java

أثار الخلل قلقًا كبيرًا بسبب انتشاره، وحقيقة أنه قابل للتنفيذ عن بعد، ولأن كود استغلال إثبات المفهوم متاح للعامة له. منذ الكشف عن الخلل في الأسبوع الماضي، قام العديد من البائعين – والكيانات مثل ShadowServer - أبلغوا عن رؤية علامات استغلال النشاط الذي يستهدف الخلل.

وقد وصفت ASF نفسها Apache Struts بأنها تمتلك "قاعدة مستخدمين ضخمة"، نظرًا لوجودها منذ أكثر من عقدين من الزمن. يقدر خبراء الأمن أن هناك الآلاف من التطبيقات في جميع أنحاء العالم - بما في ذلك تلك المستخدمة في العديد من شركات ومؤسسات Fortune 500 في الحكومة وقطاعات البنية التحتية الحيوية - التي تعتمد على Apache Struts.  

تتضمن العديد من تقنيات البائعين Apache Struts 2 أيضًا. شركة سيسكو، على سبيل المثال، هي التحقيق حاليا جميع المنتجات التي من المحتمل أن تتأثر بالخلل وتخطط لإصدار معلومات وتحديثات إضافية عند الحاجة. تشمل المنتجات التي تخضع للتدقيق تقنيات إدارة الشبكات وتوفيرها من Cisco ومنتجات الاتصالات الصوتية والموحدة ومنصة تعاون العملاء الخاصة بها.

تؤثر الثغرة الأمنية على إصدارات Struts 2.5.0 إلى 2.5.32 وإصدارات Struts 6.0.0 إلى 6.3.0. الخطأ موجود أيضًا في إصدارات Struts 2.0.0 إلى Struts 2.3.37، والتي انتهت صلاحيتها الآن.

ASF وبائعي الأمن والكيانات مثل وكالة الأمن السيبراني وأمن المعلومات الأمريكية (CISA) أوصت المؤسسات التي تستخدم البرنامج بالتحديث الفوري إلى الإصدار 2.5.33 من Struts أو Struts 6.3.0.2 أو أحدث. لا تتوفر أي وسائل تخفيف للثغرة الأمنية، وفقًا لـ ASF.

في السنوات الأخيرة، اكتشف الباحثون العديد من العيوب في الدعامات. وكان من أهمها بسهولة CVE-2017-5638 في عام 2017، والتي أثرت على آلاف المؤسسات ومكّنت من اختراق شركة Equifax، مما أدى إلى كشف بيانات حساسة تخص 143 مليون مستهلك أمريكي. في الواقع لا يزال هذا الخطأ يحوم حول الحملات التي تستخدم ما تم اكتشافه للتو البرمجيات الخبيثة NKAbuse blockchain ، على سبيل المثال، يتم استغلالها للوصول الأولي.

خطأ خطير في Apache Struts 2، ولكن من الصعب استغلاله

الباحثون في Trend Micro الذين قاموا بتحليل ثغرة Apache Struts الجديدة هذا الأسبوع وصفها بأنها خطيرة ولكنها أصعب بكثير يمكن استغلالها على نطاق واسع أكثر من خطأ 2017، والذي لم يكن أكثر من مجرد مشكلة فحص واستغلال.  

وقال باحثو تريند مايكرو: "لا يزال يتم استغلال الثغرة الأمنية CVE-2023-50164 على نطاق واسع من قبل مجموعة واسعة من الجهات الفاعلة التي تستغل هذه الثغرة الأمنية للقيام بأنشطة ضارة، مما يجعلها تشكل خطرًا أمنيًا كبيرًا على المؤسسات في جميع أنحاء العالم".

يسمح الخلل بشكل أساسي للخصم بالتلاعب بمعلمات تحميل الملفات لتمكين اجتياز المسار: "قد يؤدي هذا إلى تحميل ملف ضار، مما يتيح تنفيذ التعليمات البرمجية عن بعد"، كما أشاروا.

وقال أكاماي في بيان له: لاستغلال الثغرة، سيحتاج المهاجم أولاً إلى البحث عن مواقع الويب أو تطبيقات الويب والتعرف عليها باستخدام إصدار Apache Struts الضعيف. تقرير يلخص تحليلها للتهديد هذا الاسبوع. وسيحتاجون بعد ذلك إلى إرسال طلب معد خصيصًا لتحميل ملف إلى الموقع أو تطبيق الويب المعرض للخطر. قد يحتوي الطلب على أوامر مخفية من شأنها أن تجعل النظام الضعيف يضع الملف في موقع أو دليل حيث يمكن للهجوم الوصول إليه وتشغيل تعليمات برمجية ضارة على النظام المتأثر.

"يقول سام تينكلينبيرج، كبير الباحثين الأمنيين في Akamai: "يجب أن يتضمن تطبيق الويب إجراءات معينة تم تنفيذها لتمكين تحميل الملفات الضارة متعددة الأجزاء". "سواء تم تمكين هذا افتراضيًا أم لا يعتمد على تنفيذ Struts 2. واستنادًا إلى ما رأيناه، فمن المرجح أن هذا ليس شيئًا ممكنًا افتراضيًا."

متغيران لاستغلال PoC لـ CVE-2023-50164

وقالت Akamai إنها شهدت حتى الآن هجمات تستهدف CVE-2023-50164 باستخدام إثبات المفهوم (PoC) الذي تم إصداره علنًا، ومجموعة أخرى من أنشطة الهجوم باستخدام ما يبدو أنه نسخة مختلفة من إثبات المفهوم (PoC) الأصلي.

يقول تينكلينبرج: "إن آلية الاستغلال هي نفسها بين مجموعتي الهجمات". "ومع ذلك، العناصر التي تختلف هي نقطة النهاية والمعلمة المستخدمة في محاولة الاستغلال."

ويضيف تينكلينبيرج أن متطلبات المهاجم لاستغلال الثغرة الأمنية بنجاح يمكن أن تختلف بشكل كبير حسب التنفيذ. يتضمن ذلك الحاجة إلى تطبيق ضعيف لتمكين وظيفة تحميل الملفات والسماح لمستخدم غير مصادق بتحميل الملفات. إذا كان التطبيق الضعيف لا يسمح بتحميلات مستخدم غير مصرح بها، فسيحتاج المهاجم إلى الحصول على المصادقة والترخيص عبر وسائل أخرى. ويقول إن المهاجم سيحتاج أيضًا إلى تحديد نقطة النهاية باستخدام وظيفة تحميل الملفات الضعيفة.

في حين أن هذه الثغرة الأمنية في Apache Struts قد لا تكون قابلة للاستغلال بسهولة على نطاق واسع مقارنة بالعيوب السابقة، فإن وجودها في مثل هذا الإطار المعتمد على نطاق واسع يثير بالتأكيد مخاوف أمنية كبيرة، كما يقول سعيد عباسي، مدير أبحاث الثغرات والتهديدات في Qualys.

ويشير إلى أن "هذه الثغرة الأمنية تبرز بسبب تعقيدها والظروف المحددة المطلوبة للاستغلال، مما يجعل الهجمات واسعة النطاق صعبة ولكنها ممكنة". "نظرًا للتكامل الواسع النطاق الذي توفره Apache Struts في العديد من الأنظمة الحيوية، لا يمكن الاستهانة بإمكانية شن هجمات مستهدفة."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug