Patch Now: Exploit Activity Mounts for Dangerous Apache Struts 2 Bug

نگرانی‌ها در مورد آسیب‌پذیری حیاتی اجرای کد از راه دور (RCE) در Apache Struts 2 که مهاجمان در چند روز گذشته به طور فعال از آن سوء استفاده کرده‌اند، زیاد است.

Apache Struts یک فریم ورک منبع باز پرکاربرد برای ساخت برنامه های جاوا است. توسعه دهندگان می توانند از آن برای ساخت برنامه های وب ماژولار بر اساس آنچه به عنوان معماری Model-View-Controller (MVC) شناخته می شود، استفاده کنند. بنیاد نرم افزار آپاچی (ASF) باگ را فاش کرد در 7 دسامبر به آن امتیاز تقریباً حداکثری 9.8 از 10 در مقیاس CVSS داد. این آسیب پذیری، به عنوان ردیابی شد CVE-2023-50164 به نحوه مدیریت پارامترهای Struts در آپلود فایل ها و ارائه راهی به مهاجمان برای به دست آوردن کنترل کامل بر سیستم های آسیب دیده مربوط می شود.

یک مشکل امنیتی رایج که بر برنامه های جاوا تأثیر می گذارد

این نقص به دلیل رواج آن، این واقعیت که از راه دور قابل اجرا است و به دلیل اینکه کد سوء استفاده اثبات مفهوم برای آن در دسترس عموم است، نگرانی قابل توجهی را برانگیخته است. از زمان افشای این نقص در هفته گذشته، چندین فروشنده - و نهادهایی مانند ShadowServer - گزارش کرده اند که نشانه هایی از فعالیت اکسپلویت را مشاهده کرده اند که این نقص را هدف قرار می دهد.

خود ASF Apache Struts را دارای یک "پایه کاربری عظیم" توصیف کرده است، زیرا بیش از دو دهه است که وجود دارد. کارشناسان امنیتی تخمین می‌زنند که هزاران برنامه کاربردی در سراسر جهان وجود دارد - از جمله برنامه‌هایی که در بسیاری از شرکت‌ها و سازمان‌های Fortune 500 در بخش‌های دولتی و زیرساخت‌های حیاتی مورد استفاده قرار می‌گیرند که مبتنی بر Apache Struts هستند.  

بسیاری از فناوری های فروشنده، Apache Struts 2 را نیز در خود جای داده اند. سیسکو، برای مثال، است در حال حاضر در حال بررسی است همه محصولاتی که احتمالاً تحت تأثیر این باگ هستند و قصد دارد در صورت نیاز اطلاعات و به‌روزرسانی‌های اضافی را منتشر کند. محصولاتی که تحت بررسی هستند شامل فناوری‌های مدیریت و تامین شبکه سیسکو، محصولات صوتی و ارتباطات یکپارچه و پلتفرم همکاری مشتری آن می‌شوند.

این آسیب‌پذیری Struts نسخه‌های 2.5.0 تا 2.5.32 و Struts نسخه‌های 6.0.0 تا 6.3.0 را تحت تأثیر قرار می‌دهد. این اشکال در نسخه های Struts 2.0.0 تا Struts 2.3.37 نیز وجود دارد که اکنون به پایان می رسد.

ASF، فروشندگان امنیتی و نهادهایی مانند آژانس امنیت سایبری و امنیت اطلاعات ایالات متحده (CISA) توصیه کرده است که سازمان هایی که از این نرم افزار استفاده می کنند فوراً به Struts نسخه 2.5.33 یا Struts 6.3.0.2 یا بالاتر به روز رسانی کنند. به گفته ASF هیچ اقدام کاهشی برای این آسیب پذیری در دسترس نیست.

در سال‌های اخیر، محققان نقص‌های متعددی را در Struts کشف کرده‌اند. به راحتی مهم ترین آنها بود CVE-2017-5638 در سال 2017، که هزاران سازمان را تحت تأثیر قرار داد و باعث رخنه ای در Equifax شد که داده های حساس متعلق به 143 میلیون مصرف کننده آمریکایی را فاش کرد. این اشکال در واقع هنوز در اطراف شناور است - کمپین هایی که از موارد تازه کشف شده استفاده می کنند NKA استفاده از بدافزار بلاک چین، به عنوان مثال، از آن برای دسترسی اولیه استفاده می کنند.

یک اشکال خطرناک آپاچی Struts 2، اما استفاده از آن سخت است

محققان Trend Micro که این هفته آسیب‌پذیری جدید Apache Struts را تجزیه و تحلیل کردند آن را خطرناک اما بسیار سخت تر توصیف کرد برای بهره برداری در مقیاسی نسبت به باگ 2017، که کمی بیشتر از یک مشکل اسکن و بهره برداری بود.  

محققان Trend Micro می‌گویند: «آسیب‌پذیری CVE-2023-50164 همچنان توسط طیف گسترده‌ای از عوامل تهدید مورد سوء استفاده قرار می‌گیرد که از این آسیب‌پذیری برای انجام فعالیت‌های مخرب سوء استفاده می‌کنند و آن را به یک خطر امنیتی مهم برای سازمان‌ها در سراسر جهان تبدیل می‌کنند».

این نقص اساساً به دشمن اجازه می‌دهد تا پارامترهای آپلود فایل را برای فعال کردن پیمایش مسیر دستکاری کند: آنها خاطرنشان کردند: "این به طور بالقوه می‌تواند منجر به آپلود یک فایل مخرب شود و اجرای کد از راه دور را امکان‌پذیر کند."

به گفته Akamai، برای سوء استفاده از این نقص، ابتدا مهاجم باید وب سایت ها یا برنامه های کاربردی وب را با استفاده از نسخه آسیب پذیر Apache Struts اسکن و شناسایی کند. گزارشی که تجزیه و تحلیل خود از تهدید را خلاصه می کند این هفته. سپس آنها باید یک درخواست طراحی شده ویژه برای آپلود یک فایل در سایت یا برنامه وب آسیب پذیر ارسال کنند. این درخواست حاوی دستورات پنهانی است که باعث می شود سیستم آسیب پذیر فایل را در یک مکان یا دایرکتوری قرار دهد که حمله از آنجا می تواند به آن دسترسی داشته باشد و اجرای کد مخرب را در سیستم آسیب دیده آغاز کند.

"سام تینکلنبرگ، محقق ارشد امنیت در Akamai می گوید: برنامه وب باید اقدامات خاصی را برای فعال کردن آپلود فایل چند قسمتی مخرب اجرا کند. "اینکه این به طور پیش فرض فعال باشد بستگی به اجرای Struts 2 دارد. بر اساس آنچه که دیده ایم، به احتمال زیاد این چیزی است که به طور پیش فرض فعال نشده است."

دو نوع PoC Exploit برای CVE-2023-50164

Akamai گفت که تاکنون شاهد حملاتی بوده است که CVE-2023-50164 را با استفاده از PoC منتشر شده عمومی، و مجموعه دیگری از فعالیت های حمله با استفاده از چیزی که به نظر می رسد گونه ای از PoC اصلی است، هدف قرار داده است.

تینکلنبرگ می گوید: «مکانیسم بهره برداری بین این دو مجموعه حملات یکسان است. با این حال، مواردی که متفاوت هستند، نقطه پایانی و پارامتر مورد استفاده در تلاش برای بهره‌برداری هستند.

تینکلنبرگ می‌افزاید: الزامات یک مهاجم برای بهره‌برداری موفقیت‌آمیز از آسیب‌پذیری می‌تواند به میزان قابل توجهی در اجرا متفاوت باشد. اینها شامل نیاز به یک برنامه آسیب‌پذیر برای فعال کردن عملکرد آپلود فایل و اجازه دادن به کاربر تایید نشده برای آپلود فایل‌ها است. اگر یک برنامه آسیب‌پذیر اجازه آپلود غیرمجاز کاربر را نمی‌دهد، مهاجم باید احراز هویت و مجوز را از طریق روش‌های دیگر دریافت کند. او می گوید که مهاجم همچنین باید با استفاده از تابع آپلود فایل آسیب پذیر، نقطه پایانی را شناسایی کند.

سعید عباسی، مدیر تحقیقات آسیب‌پذیری و تهدید در Qualys می‌گوید در حالی که این آسیب‌پذیری در Apache Struts ممکن است در مقایسه با نقص‌های قبلی به آسانی در مقیاس بزرگ قابل بهره‌برداری نباشد، حضور آن در چنین چارچوب گسترده‌ای که به طور گسترده پذیرفته شده است، مطمئناً نگرانی‌های امنیتی قابل توجهی را ایجاد می‌کند.

او خاطرنشان می کند: «این آسیب پذیری خاص به دلیل پیچیدگی و شرایط خاص مورد نیاز برای بهره برداری برجسته است و حملات گسترده را دشوار اما ممکن می کند». با توجه به ادغام گسترده Apache Struts در سیستم های مختلف حیاتی، پتانسیل حملات هدفمند را نمی توان دست کم گرفت.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug