Patch Now: Exploit Activity Mounts for Dangerous Apache Struts 2 Bug

Οι ανησυχίες είναι υψηλές για μια κρίσιμη, πρόσφατα αποκαλυφθείσα ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) στο Apache Struts 2, την οποία οι εισβολείς εκμεταλλεύονται ενεργά τις τελευταίες ημέρες.

Το Apache Struts είναι ένα ευρέως χρησιμοποιούμενο πλαίσιο ανοιχτού κώδικα για τη δημιουργία εφαρμογών Java. Οι προγραμματιστές μπορούν να το χρησιμοποιήσουν για τη δημιουργία αρθρωτών εφαρμογών Web που βασίζονται σε αυτό που είναι γνωστό ως αρχιτεκτονική Model-View-Controller (MVC). The Apache Software Foundation (ASF) αποκάλυψε το σφάλμα στις 7 Δεκεμβρίου και του έδωσε σχεδόν μέγιστη βαθμολογία σοβαρότητας 9.8 στα 10 στην κλίμακα CVSS. Η ευπάθεια, παρακολουθείται ως CVE-2023-50164 έχει να κάνει με τον τρόπο με τον οποίο το Struts χειρίζεται τις παραμέτρους στις μεταφορτώσεις αρχείων και δίνει στους εισβολείς έναν τρόπο να αποκτήσουν τον πλήρη έλεγχο των επηρεαζόμενων συστημάτων.

Ένα ευρέως διαδεδομένο ζήτημα ασφάλειας που επηρεάζει τις εφαρμογές Java

Το ελάττωμα έχει προκαλέσει σημαντική ανησυχία λόγω της επικράτησης του, του γεγονότος ότι είναι εκτελέσιμο από απόσταση και επειδή ο κώδικας εκμετάλλευσης απόδειξης της ιδέας είναι δημόσια διαθέσιμος για αυτό. Από την αποκάλυψη του ελαττώματος την περασμένη εβδομάδα, πολλοί προμηθευτές — και οντότητες όπως ShadowServer — ανέφεραν ότι είδαν σημάδια δραστηριότητας εκμετάλλευσης που στοχεύει το ελάττωμα.

Το ίδιο το ASF έχει περιγράψει το Apache Struts ότι έχει μια «τεράστια βάση χρηστών», λόγω του γεγονότος ότι υπάρχει για περισσότερες από δύο δεκαετίες. Οι ειδικοί σε θέματα ασφάλειας εκτιμούν ότι υπάρχουν χιλιάδες εφαρμογές παγκοσμίως — συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται σε πολλές εταιρείες και οργανισμούς του Fortune 500 σε τομείς της κυβέρνησης και των κρίσιμων υποδομών — που βασίζονται σε Apache Struts.  

Πολλές τεχνολογίες προμηθευτών ενσωματώνουν επίσης το Apache Struts 2. Η Cisco, για παράδειγμα, είναι που ερευνούν αυτήν την περίοδο όλα τα προϊόντα που πιθανόν επηρεάζονται από το σφάλμα και σχεδιάζει να δημοσιεύσει πρόσθετες πληροφορίες και ενημερώσεις όταν χρειάζεται. Τα προϊόντα που ελέγχονται περιλαμβάνουν τις τεχνολογίες διαχείρισης και παροχής δικτύων της Cisco, προϊόντα φωνής και ενοποιημένες επικοινωνίες και την πλατφόρμα συνεργασίας πελατών της Cisco.

Η ευπάθεια επηρεάζει τις εκδόσεις Struts 2.5.0 έως 2.5.32 και τις εκδόσεις Struts 6.0.0 έως 6.3.0. Το σφάλμα υπάρχει επίσης στις εκδόσεις Struts 2.0.0 έως Struts 2.3.37, οι οποίες είναι πλέον στο τέλος του κύκλου ζωής τους.

Η ASF, προμηθευτές ασφαλείας και οντότητες όπως η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Πληροφοριών των ΗΠΑ (CISA) συνέστησε στους οργανισμούς που χρησιμοποιούν το λογισμικό να ενημερώνονται αμέσως σε Struts έκδοση 2.5.33 ή Struts 6.3.0.2 ή μεταγενέστερη. Δεν υπάρχουν διαθέσιμα μέτρα μετριασμού για την ευπάθεια, σύμφωνα με την ASF.

Τα τελευταία χρόνια, οι ερευνητές έχουν ανακαλύψει πολλά ελαττώματα στο Struts. Εύκολα το πιο σημαντικό από αυτά ήταν CVE-2017-5638 το 2017, το οποίο επηρέασε χιλιάδες οργανισμούς και επέτρεψε μια παραβίαση στο Equifax που αποκάλυψε ευαίσθητα δεδομένα που ανήκαν σε εκπληκτικά 143 εκατομμύρια καταναλωτές στις ΗΠΑ. Αυτό το σφάλμα στην πραγματικότητα εξακολουθεί να επιπλέει - καμπάνιες που χρησιμοποιούν το που μόλις ανακαλύφθηκε NKAbuse κακόβουλο λογισμικό blockchain, για παράδειγμα, το εκμεταλλεύονται για αρχική πρόσβαση.

Ένα επικίνδυνο σφάλμα Apache Struts 2, αλλά δύσκολο στην εκμετάλλευση

Ερευνητές της Trend Micro που ανέλυσαν τη νέα ευπάθεια του Apache Struts αυτή την εβδομάδα το περιέγραψε ως επικίνδυνο αλλά πολύ πιο δύσκολο να εκμεταλλευτεί σε κλίμακα από το σφάλμα του 2017, το οποίο ήταν κάτι περισσότερο από ένα ζήτημα σάρωσης και εκμετάλλευσης.  

«Η ευπάθεια CVE-2023-50164 συνεχίζει να χρησιμοποιείται ευρέως από ένα ευρύ φάσμα παραγόντων απειλών που κάνουν κατάχρηση αυτής της ευπάθειας για να εκτελέσουν κακόβουλες δραστηριότητες, καθιστώντας το σημαντικό κίνδυνο ασφάλειας για οργανισμούς παγκοσμίως», δήλωσαν οι ερευνητές της Trend Micro.

Το ελάττωμα επιτρέπει βασικά σε έναν αντίπαλο να χειριστεί τις παραμέτρους αποστολής αρχείων για να ενεργοποιήσει τη διέλευση διαδρομής: "Αυτό θα μπορούσε ενδεχομένως να οδηγήσει στη μεταφόρτωση ενός κακόβουλου αρχείου, επιτρέποντας την απομακρυσμένη εκτέλεση κώδικα", σημείωσαν.

Για να εκμεταλλευτεί το ελάττωμα, ένας εισβολέας θα πρέπει πρώτα να σαρώσει και να εντοπίσει ιστότοπους ή εφαρμογές Ιστού χρησιμοποιώντας μια ευάλωτη έκδοση Apache Struts, δήλωσε ο Akamai σε έκθεση που συνοψίζει την ανάλυσή της για την απειλή αυτή την εβδομάδα. Στη συνέχεια, θα πρέπει να στείλουν ένα ειδικά διαμορφωμένο αίτημα για να ανεβάσουν ένα αρχείο στον ευάλωτο ιστότοπο ή στην εφαρμογή Ιστού. Το αίτημα θα περιέχει κρυφές εντολές που θα αναγκάζουν το ευάλωτο σύστημα να τοποθετήσει το αρχείο σε μια τοποθεσία ή κατάλογο από όπου θα μπορούσε να έχει πρόσβαση η επίθεση και να ενεργοποιήσει την εκτέλεση κακόβουλου κώδικα στο επηρεαζόμενο σύστημα.

"Η εφαρμογή Ιστού πρέπει να έχει υλοποιήσει ορισμένες ενέργειες για να ενεργοποιηθεί η κακόβουλη μεταφόρτωση αρχείων πολλών μερών», λέει ο Sam Tinklenberg, ανώτερος ερευνητής ασφάλειας στην Akamai. "Το αν αυτό είναι ενεργοποιημένο από προεπιλογή εξαρτάται από την εφαρμογή του Struts 2. Με βάση αυτά που έχουμε δει, είναι πιο πιθανό αυτό να μην είναι κάτι που είναι ενεργοποιημένο από προεπιλογή."

Δύο παραλλαγές PoC Exploit για CVE-2023-50164

Η Akamai είπε ότι μέχρι στιγμής έχει δει επιθέσεις που στοχεύουν το CVE-2023-50164 χρησιμοποιώντας το δημοσίως δημοσιευμένο PoC και ένα άλλο σύνολο δραστηριότητας επίθεσης χρησιμοποιώντας αυτό που φαίνεται να είναι μια παραλλαγή του αρχικού PoC.

"Ο μηχανισμός εκμετάλλευσης είναι ο ίδιος μεταξύ των δύο" σειρών επιθέσεων, λέει ο Tinklenberg. "Ωστόσο, τα στοιχεία που διαφέρουν είναι το τελικό σημείο και η παράμετρος που χρησιμοποιούνται στην προσπάθεια εκμετάλλευσης."

Οι απαιτήσεις για έναν εισβολέα να εκμεταλλευτεί με επιτυχία την ευπάθεια μπορεί να διαφέρουν σημαντικά ανάλογα με την εφαρμογή, προσθέτει ο Tinklenberg. Αυτά περιλαμβάνουν την ανάγκη για μια ευάλωτη εφαρμογή να έχει ενεργοποιημένη τη λειτουργία μεταφόρτωσης αρχείων και να επιτρέπει σε έναν χρήστη χωρίς έλεγχο ταυτότητας να ανεβάζει αρχεία. Εάν μια ευάλωτη εφαρμογή δεν επιτρέπει μεταφορτώσεις μη εξουσιοδοτημένων χρηστών, ο εισβολέας θα πρέπει να αποκτήσει έλεγχο ταυτότητας και εξουσιοδότηση μέσω άλλων μέσων. Ο εισβολέας θα πρέπει επίσης να αναγνωρίσει το τελικό σημείο χρησιμοποιώντας την ευάλωτη λειτουργία μεταφόρτωσης αρχείων, λέει.

Αν και αυτή η ευπάθεια στο Apache Struts μπορεί να μην είναι τόσο εύκολα εκμεταλλεύσιμη σε μεγάλη κλίμακα σε σύγκριση με προηγούμενα ελαττώματα, η παρουσία της σε ένα τόσο ευρέως υιοθετημένο πλαίσιο σίγουρα εγείρει σημαντικές ανησυχίες για την ασφάλεια, λέει ο Saeed Abbasi, διευθυντής έρευνας ευπάθειας και απειλών στην Qualys.

«Αυτή η συγκεκριμένη ευπάθεια ξεχωρίζει λόγω της πολυπλοκότητάς της και των ειδικών συνθηκών που απαιτούνται για την εκμετάλλευση, καθιστώντας τις εκτεταμένες επιθέσεις δύσκολες αλλά εφικτές», σημειώνει. «Δεδομένης της εκτεταμένης ενσωμάτωσης του Apache Struts σε διάφορα κρίσιμα συστήματα, η πιθανότητα στοχευμένων επιθέσεων δεν μπορεί να υποτιμηθεί».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug