Mure on suur Apache Struts 2 kriitilise, hiljuti avalikustatud kaugkoodikäivituse (RCE) haavatavuse pärast, mida ründajad on viimastel päevadel aktiivselt ära kasutanud.
Apache Struts on Java rakenduste loomiseks laialdaselt kasutatav avatud lähtekoodiga raamistik. Arendajad saavad seda kasutada modulaarsete veebirakenduste loomiseks, mis põhinevad MVC (Model-View-Controller) arhitektuuril. Apache Software Foundation (ASF) avalikustas vea 7. detsembril ja andis sellele CVSS-i skaalal peaaegu maksimaalse raskusastme 9.8 punkti 10-st. Haavatavus, jälgitav kui CVE-2023-50164 on seotud sellega, kuidas Struts käsitleb failide üleslaadimisel parameetreid ja annab ründajatele võimaluse saada mõjutatud süsteemide üle täielik kontroll.
Laialt levinud turvaprobleem, mis mõjutab Java rakendusi
Viga on tekitanud märkimisväärset muret selle levimuse, kaugkäivitatavuse ja selle jaoks avalikult kättesaadava kontseptsiooni tõestuse kasutamise tõttu. Pärast vea avalikustamist eelmisel nädalal on mitu müüjat - ja üksused nagu ShadowServer — on teatanud, et on märganud märke veale suunatud ekspluateerimisest.
ASF ise on kirjeldanud Apache Strutsi kui "tohutut kasutajaskonda", kuna see on eksisteerinud rohkem kui kaks aastakümmet. Turvaekspertide hinnangul on maailmas tuhandeid rakendusi – sealhulgas need, mida kasutavad paljud Fortune 500 ettevõtted ja organisatsioonid valitsus- ja kriitilise infrastruktuuri sektorites –, mis põhinevad Apache Strutil.
Paljud müüjatehnoloogiad sisaldavad ka Apache Struts 2. Näiteks Cisco on praegu uurib kõik tooted, mida viga tõenäoliselt mõjutab, ning plaanib vajaduse korral lisateavet ja värskendusi välja anda. Tooted, mida kontrollitakse, hõlmavad Cisco võrguhaldus- ja pakkumistehnoloogiaid, kõne- ja ühtseid sidetooteid ning klientide koostööplatvormi.
See haavatavus mõjutab Strutsi versioone 2.5.0–2.5.32 ja Strutsi versioone 6.0.0–6.3.0. Viga esineb ka Strutsi versioonides 2.0.0 kuni Struts 2.3.37, mis on nüüdseks kasutusea lõppenud.
ASF, turbemüüjad ja üksused nagu USA küberturvalisuse ja infoturbe agentuur (CISA) on soovitanud tarkvara kasutavatel organisatsioonidel viivitamatult värskendada Strutsi versioonile 2.5.33 või Strutsi versioonile 6.3.0.2 või uuemale. ASF-i andmetel pole haavatavuse jaoks leevendusi saadaval.
Viimastel aastatel on teadlased avastanud Strutsis palju vigu. Kergesti oli kõige olulisem neist CVE-2017-5638 2017. aastal, mis mõjutas tuhandeid organisatsioone ja võimaldas Equifaxis rikkumist, mis paljastas tundlikud andmed, mis kuulusid vapustavalt 143 miljonile USA tarbijale. See viga hõljub tegelikult ikka veel – kampaaniad, mis kasutavad just avastatud NKAbuse plokiahela pahavara, näiteks kasutavad seda esmaseks juurdepääsuks.
Ohtlik Apache Struts 2 viga, kuid seda on raske ära kasutada
Trend Micro teadlased, kes analüüsisid sel nädalal uut Apache Strutsi haavatavust kirjeldas seda kui ohtlikku, kuid tunduvalt raskemat suuremas mahus ära kasutada kui 2017. aasta viga, mis oli vaid skannimise ja kasutamise probleem.
"Haavatavust CVE-2023-50164 kasutavad jätkuvalt laialdaselt ära paljud ohus osalejad, kes kuritarvitavad seda haavatavust pahatahtlike toimingute sooritamiseks, muutes selle organisatsioonidele kogu maailmas oluliseks turvariskiks," ütlesid Trend Micro teadlased.
Põhimõtteliselt võimaldab see viga vastasel manipuleerida faili üleslaadimise parameetritega, et võimaldada tee läbimist: "See võib potentsiaalselt kaasa tuua pahatahtliku faili üleslaadimise, mis võimaldab koodi kaugkäivitamist," märkisid nad.
Vea ärakasutamiseks peab ründaja esmalt otsima ja tuvastama veebisaite või veebirakendusi, kasutades haavatavat Apache Strutsi versiooni, ütles Akamai aruanne, mis võtab kokku ohu analüüsi see nädal. Seejärel peavad nad saatma spetsiaalselt koostatud taotluse faili üleslaadimiseks haavatavale saidile või veebirakendusse. Taotlus sisaldaks peidetud käske, mille tõttu haavatav süsteem paigutaks faili asukohta või kataloogi, kust rünnak võiks sellele juurde pääseda ja käivitada mõjutatud süsteemis pahatahtliku koodi käivitamise.
"Veebirakenduses peavad olema rakendatud teatud toimingud, et võimaldada pahatahtliku mitmeosalise faili üleslaadimist, ”ütleb Akamai vanemturbeteadur Sam Tinklenberg. "See, kas see on vaikimisi lubatud, sõltub Struts 2 rakendamisest. Nähtu põhjal on tõenäolisem, et see pole vaikimisi lubatud."
Kaks PoC kasutusvarianti CVE-2023-50164 jaoks
Akamai ütles, et on seni näinud rünnakuid, mis on suunatud CVE-2023-50164, kasutades avalikult avaldatud PoC-d, ja teist ründetegevust, mis näib olevat algse PoC variant.
Tinklenberg ütleb, et "kasutamismehhanism on nende kahe" rünnakute komplekti vahel sama. "Erinevad üksused on aga kasutuskatses kasutatud lõpp-punkt ja parameeter."
Tinklenberg lisab, et nõuded ründajale haavatavuse edukaks ärakasutamiseks võivad rakenduseti oluliselt erineda. Nende hulka kuulub vajadus, et haavatavas rakenduses oleks lubatud failide üleslaadimise funktsioon ja see võimaldaks autentimata kasutajal faile üles laadida. Kui haavatav rakendus ei luba kasutajate volitamata üleslaadimist, peab ründaja saama autentimise ja volituse muul viisil. Ta ütleb, et ründaja peaks haavatava faili üleslaadimise funktsiooni abil tuvastama ka lõpp-punkti.
Kuigi see haavatavus Apache Strutsis ei pruugi olla varasemate vigadega võrreldes suures mahus nii hõlpsasti kasutatav, tekitab selle olemasolu sellises laialdaselt kasutusele võetud raamistikus kindlasti olulisi turvaprobleeme, ütleb Qualysi haavatavuse ja ohuuuringute juht Saeed Abbasi.
"See konkreetne haavatavus paistab silma oma keerukuse ja ärakasutamiseks vajalike spetsiifiliste tingimuste tõttu, muutes laialt levinud rünnakud raskeks, kuid võimalikuks," märgib ta. "Arvestades Apache Strutsi ulatuslikku integreerimist erinevatesse kriitilistesse süsteemidesse, ei saa sihitud rünnakute potentsiaali alahinnata."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- :on
- :on
- :mitte
- : kus
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- kuritarvitamise
- juurdepääs
- Vastavalt
- meetmete
- aktiivselt
- tegevus
- tegevus
- osalejad
- tegelikult
- Täiendavad lisad
- Tooteinfo
- Lisab
- vastu
- mõjutatud
- mõjutades
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- võimaldab
- Ka
- an
- analüüs
- analüüsitud
- ja
- Teine
- Apache
- app
- ilmub
- taotlus
- rakendused
- arhitektuur
- OLEME
- ümber
- AS
- ASF
- At
- rünnak
- Reageerib
- katse
- Autentimine
- luba
- saadaval
- baas
- põhineb
- Põhimõtteliselt
- BE
- sest
- olnud
- kuulumine
- vahel
- blockchain
- rikkumine
- Bug
- ehitama
- Ehitus
- kuid
- by
- Kampaaniad
- CAN
- ei saa
- Põhjus
- kindel
- kindlasti
- Cisco
- kood
- koostöö
- Side
- Ettevõtted
- võrreldes
- täitma
- keerukus
- Murettekitav
- Murettekitav
- Tingimused
- märkimisväärne
- Tarbijad
- sisaldama
- pidev
- kontrollida
- võiks
- meisterdatud
- kriitiline
- Kriitiline infrastruktuur
- klient
- Küberturvalisus
- Ohtlik
- andmed
- Päeva
- detsember
- aastakümnete
- vaikimisi
- sõltub
- kirjeldatud
- Arendajad
- erinevad
- raske
- avalikustamine
- do
- ei
- kaks
- kergesti
- võimaldama
- lubatud
- võimaldades
- Lõpp-punkt
- üksuste
- Equifax
- hinnata
- täitmine
- ekspertide
- Ekspluateeri
- kasutamine
- Exploited
- ära kasutades
- avatud
- ulatuslik
- asjaolu
- kaugele
- vähe
- fail
- Faile
- esimene
- viga
- vigu
- ujuv
- eest
- heaolu
- Sihtasutus
- Raamistik
- Alates
- funktsioon
- kasu
- andis
- antud
- annab
- Valitsus
- suurem
- Varred
- Raske
- Olema
- võttes
- he
- varjatud
- Suur
- Kuidas
- aga
- HTML
- HTTPS
- tohutu
- identifitseerima
- if
- kohe
- täitmine
- rakendatud
- in
- sisaldama
- Kaasa arvatud
- lisada
- info
- infoturbe
- Infrastruktuur
- esialgne
- Näiteks
- integratsioon
- probleem
- IT
- kirjed
- ITS
- ise
- Java
- jpg
- teatud
- suur
- viimane
- Tõenäoliselt
- vähe
- liising
- Tegemine
- malware
- juhtimine
- juht
- palju
- maksimaalne
- vahendid
- mehhanism
- micro
- võib
- miljon
- modulaarne
- rohkem
- kõige
- mitmekordne
- peab
- Lähedal
- Vajadus
- vaja
- võrk
- Uus
- nst
- ei
- märkida
- märkused
- nüüd
- arvukad
- of
- on
- avatud
- avatud lähtekoodiga
- or
- organisatsioonid
- originaal
- Muu
- välja
- üle
- parameeter
- parameetrid
- eriline
- minevik
- Plaaster
- tee
- täitma
- Koht
- plaanid
- inimesele
- Platon
- Platoni andmete intelligentsus
- PlatoData
- PoC
- võimalik
- potentsiaal
- potentsiaalselt
- olemasolu
- esitada
- levinud
- eelmine
- Toodet
- avalikult
- tõstab
- valik
- hinnang
- kergesti
- hiljuti
- hiljuti
- soovitatav
- vabastama
- vabastatud
- kauge
- kaugelt
- Teatatud
- taotleda
- nõutav
- Nõuded
- teadustöö
- uurija
- Teadlased
- kaasa
- Oht
- s
- Ütlesin
- Sam
- sama
- ütleb
- Skaala
- skaneerida
- kontrolli
- Sektorid
- turvalisus
- nägemine
- nähtud
- saatma
- vanem
- tundlik
- komplekt
- Komplektid
- märkimisväärne
- märgatavalt
- Märgid
- alates
- site
- So
- nii kaugel
- tarkvara
- midagi
- allikas
- spetsiaalselt
- konkreetse
- vapustav
- seisab
- Veel
- Edukalt
- selline
- süsteem
- süsteemid
- suunatud
- sihtimine
- Tehnoloogiad
- kui
- et
- .
- Neile
- SIIS
- Seal.
- Need
- nad
- see
- sel nädalal
- need
- tuhandeid
- oht
- ohus osalejad
- et
- Trend
- vallandada
- kaks
- volitamata
- all
- ühtne
- Värskendused
- Uudised
- Üleslaadimine
- us
- kasutama
- Kasutatud
- Kasutaja
- kasutamine
- variant
- eri
- müüja
- müüjad
- versioon
- versioonid
- kaudu
- Hääl
- haavatavus
- Haavatav
- oli
- Tee..
- we
- web
- Veebirakendus
- veebirakendused
- veebilehed
- nädal
- Hästi
- M
- Mis on
- millal
- kas
- mis
- WHO
- lai
- Lai valik
- laialdaselt
- laialt levinud
- koos
- ülemaailmne
- oleks
- aastat
- sephyrnet
