Patch nu: Udnyt aktivitetsbeslag til Dangerous Apache Struts 2 Bug

Der er stor bekymring over en kritisk, nyligt afsløret RCE-sårbarhed (Remote Code Execution) i Apache Struts 2, som angribere aktivt har udnyttet i løbet af de sidste par dage.

Apache Struts er en udbredt open source-ramme til at bygge Java-applikationer. Udviklere kan bruge det til at bygge modulære webapplikationer baseret på det, der er kendt som Model-View-Controller (MVC)-arkitekturen. Apache Software Foundation (ASF) afslørede fejlen den 7. december og gav den en næsten maksimal sværhedsgrad på 9.8 ud af 10 på CVSS-skalaen. Sårbarheden, spores som CVE-2023-50164 har at gøre med, hvordan Struts håndterer parametre i filuploads og giver angribere en måde at få fuldstændig kontrol over berørte systemer.

Et meget udbredt sikkerhedsproblem, der påvirker Java-apps

Fejlen har vakt betydelig bekymring på grund af dens udbredelse, det faktum, at den er eksternt eksekverbar, og fordi proof-of-concept udnyttelseskode er offentligt tilgængelig for den. Siden offentliggørelsen af ​​fejlen i sidste uge har flere leverandører - og enheder som f.eks ShadowServer — har rapporteret at se tegn på udnyttelsesaktivitet rettet mod fejlen.

ASF selv har beskrevet Apache Struts som havende en "stor brugerbase", på grund af det faktum, at den har eksisteret i mere end to årtier. Sikkerhedseksperter vurderer, at der er tusindvis af applikationer verden over - inklusive dem, der er i brug hos mange Fortune 500-virksomheder og organisationer i offentlige sektorer og kritiske infrastruktursektorer - som er baseret på Apache Struts.  

Mange leverandørteknologier inkorporerer også Apache Struts 2. Cisco er det for eksempel i øjeblikket undersøger alle produkter, der sandsynligvis er påvirket af fejlen og planlægger at frigive yderligere information og opdateringer, når det er nødvendigt. Produkter, der er under kontrol, omfatter Ciscos netværksstyrings- og leveringsteknologier, tale- og unified communications-produkter og dets kundesamarbejdsplatform.

Sårbarheden påvirker Struts version 2.5.0 til 2.5.32 og Struts version 6.0.0 til 6.3.0. Fejlen er også til stede i Struts versioner 2.0.0 til Struts 2.3.37, som nu er udtjente.

ASF, sikkerhedsleverandører og enheder som f.eks US Cybersecurity and Information Security Agency (CISA) har anbefalet, at organisationer, der bruger softwaren, straks opdaterer til Struts version 2.5.33 eller Struts 6.3.0.2 eller nyere. Ifølge ASF er der ingen begrænsninger tilgængelige for sårbarheden.

I de senere år har forskere afdækket adskillige fejl i Struts. Den mest betydningsfulde af dem var let CVE-2017-5638 i 2017, hvilket påvirkede tusindvis af organisationer og muliggjorde et brud på Equifax, der afslørede følsomme data tilhørende svimlende 143 millioner amerikanske forbrugere. Den fejl svæver faktisk stadig rundt - kampagner, der bruger det netop opdagede NKAbuse blockchain malware, for eksempel udnytter det til indledende adgang.

En farlig Apache Struts 2-fejl, men svær at udnytte

Forskere hos Trend Micro, der analyserede den nye Apache Struts sårbarhed i denne uge beskrev det som et farligt, men betydeligt sværere at udnytte i skala end 2017-fejlen, som var lidt mere end et scannings- og udnyttelsesproblem.  

"CVE-2023-50164-sårbarheden bliver fortsat bredt udnyttet af en lang række trusselsaktører, som misbruger denne sårbarhed til at udføre ondsindede aktiviteter, hvilket gør den til en betydelig sikkerhedsrisiko for organisationer verden over," sagde Trend Micro-forskere.

Fejlen tillader dybest set en modstander at manipulere filoverførselsparametre for at muliggøre stigennemgang: "Dette kan potentielt resultere i upload af en ondsindet fil, hvilket muliggør fjernudførelse af kode," bemærkede de.

For at udnytte fejlen skal en angriber først scanne efter og identificere websteder eller webapplikationer ved hjælp af en sårbar Apache Struts-version, sagde Akamai i en rapport, der opsummerer sin analyse af truslen denne uge. De skal derefter sende en specielt udformet anmodning om at uploade en fil til det sårbare websted eller webapp. Anmodningen ville indeholde skjulte kommandoer, der ville få det sårbare system til at placere filen på et sted eller en mappe, hvorfra angrebet kunne få adgang til den og udløse eksekvering af ondsindet kode på det berørte system.

"Webapplikationen skal have visse handlinger implementeret for at aktivere den ondsindede multipart-filupload,” siger Sam Tinklenberg, senior sikkerhedsforsker hos Akamai. "Om dette er aktiveret som standard afhænger af implementeringen af ​​Struts 2. Baseret på det, vi har set, er det mere sandsynligt, at dette ikke er noget, der er aktiveret som standard."

To PoC-udnyttelsesvarianter til CVE-2023-50164

Akamai sagde, at det indtil videre har set angreb rettet mod CVE-2023-50164 ved hjælp af den offentligt udgivne PoC, og et andet sæt angrebsaktivitet, der bruger, hvad der ser ud til at være en variant af den originale PoC.

"Udnyttelsesmekanismen er den samme mellem de to" sæt af angreb, siger Tinklenberg. "Men de elementer, der adskiller sig, er endepunktet og parameteren, der bruges i udnyttelsesforsøget."

Kravene til, at en angriber med succes kan udnytte sårbarheden, kan variere betydeligt afhængigt af implementeringen, tilføjer Tinklenberg. Disse omfatter behovet for, at en sårbar app skal have filoverførselsfunktionen aktiveret, og at den tillader en uautoriseret bruger at uploade filer. Hvis en sårbar app ikke tillader uautoriserede brugeruploads, skal angriberen opnå godkendelse og autorisation på andre måder. Angriberen skal også identificere slutpunktet ved hjælp af den sårbare filupload-funktion, siger han.

Selvom denne sårbarhed i Apache Struts måske ikke er lige så let at udnytte i stor skala sammenlignet med tidligere fejl, giver dens tilstedeværelse i en så bredt anvendt ramme helt sikkert betydelige sikkerhedsproblemer, siger Saeed Abbasi, leder af sårbarheds- og trusselsforskning hos Qualys.

"Denne særlige sårbarhed skiller sig ud på grund af dens kompleksitet og de specifikke betingelser, der kræves for udnyttelse, hvilket gør udbredte angreb vanskelige, men mulige," bemærker han. "I betragtning af Apache Struts' omfattende integration i forskellige kritiske systemer kan potentialet for målrettede angreb ikke undervurderes."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug