هناك مخاوف كبيرة بشأن ثغرة أمنية حرجة تم الكشف عنها مؤخرًا في تنفيذ التعليمات البرمجية عن بُعد (RCE) في Apache Struts 2 والتي كان المهاجمون يستغلونها بنشاط خلال الأيام القليلة الماضية.
Apache Struts هو إطار عمل مفتوح المصدر يستخدم على نطاق واسع لبناء تطبيقات Java. يمكن للمطورين استخدامه لبناء تطبيقات ويب معيارية بناءً على ما يُعرف ببنية Model-View-Controller (MVC). مؤسسة برمجيات أباتشي (ASF) كشف الخلل في 7 كانون الأول (ديسمبر) وأعطاه تصنيفًا أقصى خطورة تقريبًا يبلغ 9.8 من 10 على مقياس CVSS. الثغرة الأمنية، تعقبها CVE-2023-50164 يتعلق الأمر بكيفية تعامل Struts مع المعلمات في عمليات تحميل الملفات ويمنح المهاجمين طريقة للتحكم الكامل في الأنظمة المتأثرة.
مشكلة أمنية منتشرة على نطاق واسع تؤثر على تطبيقات Java
أثار الخلل قلقًا كبيرًا بسبب انتشاره، وحقيقة أنه قابل للتنفيذ عن بعد، ولأن كود استغلال إثبات المفهوم متاح للعامة له. منذ الكشف عن الخلل في الأسبوع الماضي، قام العديد من البائعين – والكيانات مثل ShadowServer - أبلغوا عن رؤية علامات استغلال النشاط الذي يستهدف الخلل.
وقد وصفت ASF نفسها Apache Struts بأنها تمتلك "قاعدة مستخدمين ضخمة"، نظرًا لوجودها منذ أكثر من عقدين من الزمن. يقدر خبراء الأمن أن هناك الآلاف من التطبيقات في جميع أنحاء العالم - بما في ذلك تلك المستخدمة في العديد من شركات ومؤسسات Fortune 500 في الحكومة وقطاعات البنية التحتية الحيوية - التي تعتمد على Apache Struts.
تتضمن العديد من تقنيات البائعين Apache Struts 2 أيضًا. شركة سيسكو، على سبيل المثال، هي التحقيق حاليا جميع المنتجات التي من المحتمل أن تتأثر بالخلل وتخطط لإصدار معلومات وتحديثات إضافية عند الحاجة. تشمل المنتجات التي تخضع للتدقيق تقنيات إدارة الشبكات وتوفيرها من Cisco ومنتجات الاتصالات الصوتية والموحدة ومنصة تعاون العملاء الخاصة بها.
تؤثر الثغرة الأمنية على إصدارات Struts 2.5.0 إلى 2.5.32 وإصدارات Struts 6.0.0 إلى 6.3.0. الخطأ موجود أيضًا في إصدارات Struts 2.0.0 إلى Struts 2.3.37، والتي انتهت صلاحيتها الآن.
ASF وبائعي الأمن والكيانات مثل وكالة الأمن السيبراني وأمن المعلومات الأمريكية (CISA) أوصت المؤسسات التي تستخدم البرنامج بالتحديث الفوري إلى الإصدار 2.5.33 من Struts أو Struts 6.3.0.2 أو أحدث. لا تتوفر أي وسائل تخفيف للثغرة الأمنية، وفقًا لـ ASF.
في السنوات الأخيرة، اكتشف الباحثون العديد من العيوب في الدعامات. وكان من أهمها بسهولة CVE-2017-5638 في عام 2017، والتي أثرت على آلاف المؤسسات ومكّنت من اختراق شركة Equifax، مما أدى إلى كشف بيانات حساسة تخص 143 مليون مستهلك أمريكي. في الواقع لا يزال هذا الخطأ يحوم حول الحملات التي تستخدم ما تم اكتشافه للتو البرمجيات الخبيثة NKAbuse blockchain ، على سبيل المثال، يتم استغلالها للوصول الأولي.
خطأ خطير في Apache Struts 2، ولكن من الصعب استغلاله
الباحثون في Trend Micro الذين قاموا بتحليل ثغرة Apache Struts الجديدة هذا الأسبوع وصفها بأنها خطيرة ولكنها أصعب بكثير يمكن استغلالها على نطاق واسع أكثر من خطأ 2017، والذي لم يكن أكثر من مجرد مشكلة فحص واستغلال.
وقال باحثو تريند مايكرو: "لا يزال يتم استغلال الثغرة الأمنية CVE-2023-50164 على نطاق واسع من قبل مجموعة واسعة من الجهات الفاعلة التي تستغل هذه الثغرة الأمنية للقيام بأنشطة ضارة، مما يجعلها تشكل خطرًا أمنيًا كبيرًا على المؤسسات في جميع أنحاء العالم".
يسمح الخلل بشكل أساسي للخصم بالتلاعب بمعلمات تحميل الملفات لتمكين اجتياز المسار: "قد يؤدي هذا إلى تحميل ملف ضار، مما يتيح تنفيذ التعليمات البرمجية عن بعد"، كما أشاروا.
وقال أكاماي في بيان له: لاستغلال الثغرة، سيحتاج المهاجم أولاً إلى البحث عن مواقع الويب أو تطبيقات الويب والتعرف عليها باستخدام إصدار Apache Struts الضعيف. تقرير يلخص تحليلها للتهديد هذا الاسبوع. وسيحتاجون بعد ذلك إلى إرسال طلب معد خصيصًا لتحميل ملف إلى الموقع أو تطبيق الويب المعرض للخطر. قد يحتوي الطلب على أوامر مخفية من شأنها أن تجعل النظام الضعيف يضع الملف في موقع أو دليل حيث يمكن للهجوم الوصول إليه وتشغيل تعليمات برمجية ضارة على النظام المتأثر.
"يقول سام تينكلينبيرج، كبير الباحثين الأمنيين في Akamai: "يجب أن يتضمن تطبيق الويب إجراءات معينة تم تنفيذها لتمكين تحميل الملفات الضارة متعددة الأجزاء". "سواء تم تمكين هذا افتراضيًا أم لا يعتمد على تنفيذ Struts 2. واستنادًا إلى ما رأيناه، فمن المرجح أن هذا ليس شيئًا ممكنًا افتراضيًا."
متغيران لاستغلال PoC لـ CVE-2023-50164
وقالت Akamai إنها شهدت حتى الآن هجمات تستهدف CVE-2023-50164 باستخدام إثبات المفهوم (PoC) الذي تم إصداره علنًا، ومجموعة أخرى من أنشطة الهجوم باستخدام ما يبدو أنه نسخة مختلفة من إثبات المفهوم (PoC) الأصلي.
يقول تينكلينبرج: "إن آلية الاستغلال هي نفسها بين مجموعتي الهجمات". "ومع ذلك، العناصر التي تختلف هي نقطة النهاية والمعلمة المستخدمة في محاولة الاستغلال."
ويضيف تينكلينبيرج أن متطلبات المهاجم لاستغلال الثغرة الأمنية بنجاح يمكن أن تختلف بشكل كبير حسب التنفيذ. يتضمن ذلك الحاجة إلى تطبيق ضعيف لتمكين وظيفة تحميل الملفات والسماح لمستخدم غير مصادق بتحميل الملفات. إذا كان التطبيق الضعيف لا يسمح بتحميلات مستخدم غير مصرح بها، فسيحتاج المهاجم إلى الحصول على المصادقة والترخيص عبر وسائل أخرى. ويقول إن المهاجم سيحتاج أيضًا إلى تحديد نقطة النهاية باستخدام وظيفة تحميل الملفات الضعيفة.
في حين أن هذه الثغرة الأمنية في Apache Struts قد لا تكون قابلة للاستغلال بسهولة على نطاق واسع مقارنة بالعيوب السابقة، فإن وجودها في مثل هذا الإطار المعتمد على نطاق واسع يثير بالتأكيد مخاوف أمنية كبيرة، كما يقول سعيد عباسي، مدير أبحاث الثغرات والتهديدات في Qualys.
ويشير إلى أن "هذه الثغرة الأمنية تبرز بسبب تعقيدها والظروف المحددة المطلوبة للاستغلال، مما يجعل الهجمات واسعة النطاق صعبة ولكنها ممكنة". "نظرًا للتكامل الواسع النطاق الذي توفره Apache Struts في العديد من الأنظمة الحيوية، لا يمكن الاستهانة بإمكانية شن هجمات مستهدفة."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- :لديها
- :يكون
- :ليس
- :أين
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- سوء المعاملة
- الوصول
- وفقا
- الإجراءات
- بنشاط
- أنشطة
- نشاط
- الجهات الفاعلة
- في الواقع
- إضافي
- معلومات اضافية
- يضيف
- اعتمد
- تتأثر
- تؤثر
- الكل
- السماح
- يسمح
- أيضا
- an
- تحليل
- حلل
- و
- آخر
- أباتشي
- التطبيق
- يبدو
- تطبيق
- التطبيقات
- هندسة معمارية
- هي
- حول
- AS
- ASF
- At
- مهاجمة
- الهجمات
- محاولة
- التحقّق من المُستخدم
- ترخيص
- متاح
- قاعدة
- على أساس
- في الأساس
- BE
- لان
- كان
- انتماء
- ما بين
- سلسلة كتلة
- خرق
- علة
- نساعدك في بناء
- ابني
- لكن
- by
- الحملات
- CAN
- لا تستطيع
- سبب
- معين
- بالتأكيد
- سيسكو
- الكود
- للاتعاون
- مجال الاتصالات
- الشركات
- مقارنة
- إكمال
- تعقيد
- قلق
- اهتمامات
- الشروط
- كبير
- المستهلكين
- تحتوي على
- تواصل
- مراقبة
- استطاع
- وضعت
- حرج
- بنية تحتية حرجة
- زبون
- الأمن السيبراني
- خطير
- البيانات
- أيام
- ديسمبر
- عقود
- الترتيب
- يعتمد
- وصف
- المطورين
- اختلف
- صعبة
- إفشاء
- do
- هل
- اثنان
- بسهولة
- تمكين
- تمكين
- تمكين
- نقطة النهاية
- الكيانات
- Equifax
- تقدير
- خبرائنا
- استغلال
- استغلال
- استغلال
- استغلال
- مكشوف
- واسع
- حقيقة
- بعيدا
- قليل
- قم بتقديم
- ملفات
- الاسم الأول
- عيب
- العيوب
- يطفو على السطح
- في حالة
- Fortune
- دورة تأسيسية
- الإطار
- تبدأ من
- وظيفة
- ربح
- أعطى
- معطى
- يعطي
- حكومة
- أكبر
- مقابض
- الثابت
- يملك
- وجود
- he
- مخفي
- مرتفع
- كيفية
- لكن
- HTML
- HTTPS
- ضخم
- تحديد
- if
- فورا
- التنفيذ
- نفذت
- in
- تتضمن
- بما فيه
- دمج
- معلومات
- امن المعلومات
- البنية التحتية
- في البداية
- مثل
- التكامل
- قضية
- IT
- العناصر
- انها
- نفسها
- جافا
- JPG
- معروف
- كبير
- اسم العائلة
- على الأرجح
- القليل
- موقع
- القيام ب
- البرمجيات الخبيثة
- إدارة
- مدير
- كثير
- أقصى
- يعني
- آلية
- الصغير
- ربما
- مليون
- وحدات
- الأكثر من ذلك
- أكثر
- متعدد
- يجب
- قرب
- حاجة
- بحاجة
- شبكة
- جديد
- نيست
- لا
- وأشار
- ملاحظة
- الآن
- كثير
- of
- on
- جاكيت
- المصدر المفتوح
- or
- المنظمات
- أصلي
- أخرى
- خارج
- على مدى
- المعلمة
- المعلمات
- خاص
- الماضي
- بقعة
- مسار
- نفذ
- المكان
- خطط
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- اضغط لتتحدث
- ممكن
- محتمل
- يحتمل
- وجود
- يقدم
- سائد
- سابق
- المنتجات
- علانية
- يثير
- نطاق
- تصنيف
- بسهولة
- الأخيرة
- مؤخرا
- موصى به
- الافراج عن
- صدر
- عن بعد
- بعد
- وذكرت
- طلب
- مطلوب
- المتطلبات الأساسية
- بحث
- الباحث
- الباحثين
- نتيجة
- المخاطرة
- s
- قال
- سام
- نفسه
- يقول
- حجم
- تفحص
- فحص دقيق
- قطاعات
- أمن
- رؤية
- رأيت
- إرسال
- كبير
- حساس
- طقم
- باكجات
- هام
- بشكل ملحوظ
- لوحات
- منذ
- الموقع
- So
- حتى الآن
- تطبيقات الكمبيوتر
- شيء
- مصدر
- خصيصا
- محدد
- صاعق
- المدرجات
- لا يزال
- بنجاح
- هذه
- نظام
- أنظمة
- المستهدفة
- استهداف
- التكنولوجيا
- من
- أن
- •
- منهم
- then
- هناك.
- تشبه
- هم
- هذا الأسبوع
- هؤلاء
- الآلاف
- التهديد
- الجهات التهديد
- إلى
- اكثر شيوعا
- يثير
- اثنان
- غير مصرح
- مع
- موحد
- تحديث
- آخر التحديثات
- تحميل
- us
- تستخدم
- مستعمل
- مستخدم
- استخدام
- متنوع
- مختلف
- بائع
- الباعة
- الإصدار
- الإصدارات
- بواسطة
- صوت
- الضعف
- الضعيفة
- وكان
- طريق..
- we
- الويب
- تطبيق ويب
- تطبيقات الويب
- المواقع
- أسبوع
- حسن
- ابحث عن
- ما هي تفاصيل
- متى
- سواء
- التي
- من الذى
- واسع
- مدى واسع
- على نحو واسع
- واسع الانتشار
- مع
- في جميع أنحاء العالم
- سوف
- سنوات
- زفيرنت