Parche ahora: Aproveche los soportes de actividad para el peligroso error de Apache Struts 2

Hay mucha preocupación por una vulnerabilidad crítica de ejecución remota de código (RCE) recientemente revelada en Apache Struts 2 que los atacantes han estado explotando activamente durante los últimos días.

Apache Struts es un marco de código abierto ampliamente utilizado para crear aplicaciones Java. Los desarrolladores pueden utilizarlo para crear aplicaciones web modulares basadas en lo que se conoce como arquitectura Modelo-Vista-Controlador (MVC). La Fundación de Software Apache (ASF) reveló el error el 7 de diciembre y le otorgó una calificación de gravedad cercana a la máxima de 9.8 sobre 10 en la escala CVSS. La vulnerabilidad, rastreada como CVE-2023-50164 tiene que ver con cómo Struts maneja los parámetros en la carga de archivos y brinda a los atacantes una forma de obtener un control total de los sistemas afectados.

Un problema de seguridad ampliamente frecuente que afecta a las aplicaciones Java

La falla ha suscitado considerable preocupación debido a su prevalencia, el hecho de que es ejecutable de forma remota y porque el código de prueba de concepto de explotación está disponible públicamente. Desde la divulgación de la falla la semana pasada, múltiples proveedores (y entidades como Servidor sombra - han informado haber visto signos de actividad de explotación dirigida a la falla.

La propia ASF ha descrito a Apache Struts como si tuviera una "enorme base de usuarios", debido al hecho de que existe desde hace más de dos décadas. Los expertos en seguridad estiman que hay miles de aplicaciones en todo el mundo (incluidas las que se utilizan en muchas empresas y organizaciones Fortune 500 en sectores gubernamentales y de infraestructura crítica) que se basan en Apache Struts.  

Muchas tecnologías de proveedores también incorporan Apache Struts 2. Cisco, por ejemplo, es actualmente investigando todos los productos que probablemente se vean afectados por el error y planea publicar información adicional y actualizaciones cuando sea necesario. Los productos que están bajo escrutinio incluyen las tecnologías de aprovisionamiento y gestión de redes de Cisco, productos de comunicaciones unificadas y de voz y su plataforma de colaboración con el cliente.

La vulnerabilidad afecta a las versiones 2.5.0 a 2.5.32 de Struts y a las versiones 6.0.0 a 6.3.0 de Struts. El error también está presente en las versiones de Struts 2.0.0 a Struts 2.3.37, que ahora están al final de su vida útil.

La ASF, proveedores de seguridad y entidades como la Agencia de Seguridad de la Información y Ciberseguridad de EE. UU. (CISA) han recomendado que las organizaciones que utilizan el software actualicen inmediatamente a Struts versión 2.5.33 o Struts 6.3.0.2 o superior. No hay mitigaciones disponibles para la vulnerabilidad, según la ASF.

En los últimos años, los investigadores han descubierto numerosos fallos en Struts. Fácilmente el más significativo de ellos fue CVE-2017-5638 en 2017, que afectó a miles de organizaciones y permitió una brecha en Equifax que expuso datos confidenciales pertenecientes a la asombrosa cifra de 143 millones de consumidores estadounidenses. En realidad, ese error aún persiste: las campañas que utilizan el recién descubierto NKAbusa malware blockchain, por ejemplo, lo están explotando para el acceso inicial.

Un error peligroso de Apache Struts 2, pero difícil de explotar

Investigadores de Trend Micro que analizaron la nueva vulnerabilidad de Apache Struts esta semana lo describió como peligroso pero considerablemente más difícil. explotar a escala que el error de 2017, que era poco más que un problema de escaneo y explotación.  

"La vulnerabilidad CVE-2023-50164 sigue siendo ampliamente explotada por una amplia gama de actores de amenazas que abusan de esta vulnerabilidad para realizar actividades maliciosas, lo que la convierte en un riesgo de seguridad importante para las organizaciones de todo el mundo", dijeron los investigadores de Trend Micro.

Básicamente, la falla permite a un adversario manipular los parámetros de carga de archivos para permitir el recorrido de la ruta: "Esto podría potencialmente resultar en la carga de un archivo malicioso, lo que permitiría la ejecución remota de código", señalaron.

Para explotar la falla, un atacante primero necesitaría buscar e identificar sitios web o aplicaciones web utilizando una versión vulnerable de Apache Struts, dijo Akamai en un informe que resume su análisis de la amenaza esta semana. Luego tendrían que enviar una solicitud especialmente diseñada para cargar un archivo en el sitio o aplicación web vulnerable. La solicitud contendría comandos ocultos que harían que el sistema vulnerable colocara el archivo en una ubicación o directorio desde donde el ataque podría acceder a él y desencadenaría la ejecución de código malicioso en el sistema afectado.

"La aplicación web debe tener implementadas ciertas acciones para permitir la carga de archivos maliciosos de varias partes”, afirma Sam Tinklenberg, investigador senior de seguridad de Akamai. "Que esto esté habilitado de forma predeterminada depende de la implementación de Struts 2. Según lo que hemos visto, es más probable que esto no sea algo habilitado de forma predeterminada".

Dos variantes de exploit PoC para CVE-2023-50164

Akamai dijo que hasta ahora ha visto ataques dirigidos a CVE-2023-50164 utilizando el PoC publicado públicamente, y otro conjunto de actividades de ataque utilizando lo que parece ser una variante del PoC original.

"El mecanismo de explotación es el mismo entre los dos" conjuntos de ataques, afirma Tinklenberg. "Sin embargo, los elementos que difieren son el punto final y el parámetro utilizado en el intento de explotación".

Los requisitos para que un atacante aproveche con éxito la vulnerabilidad pueden variar significativamente según la implementación, añade Tinklenberg. Estos incluyen la necesidad de que una aplicación vulnerable tenga habilitada la función de carga de archivos y que permita a un usuario no autenticado cargar archivos. Si una aplicación vulnerable no permite cargas de usuarios no autorizados, el atacante necesitaría obtener autenticación y autorización por otros medios. El atacante también necesitaría identificar el punto final utilizando la función de carga de archivos vulnerables, afirma.

Si bien esta vulnerabilidad en Apache Struts podría no ser tan fácilmente explotable a gran escala en comparación con fallas anteriores, su presencia en un marco tan ampliamente adoptado ciertamente plantea importantes preocupaciones de seguridad, dice Saeed Abbasi, gerente de investigación de vulnerabilidades y amenazas en Qualys.

"Esta vulnerabilidad particular destaca por su complejidad y las condiciones específicas requeridas para su explotación, lo que hace que los ataques generalizados sean difíciles pero posibles", señala. "Dada la amplia integración de Apache Struts en varios sistemas críticos, no se puede subestimar el potencial de ataques dirigidos".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug