نگرانیها در مورد آسیبپذیری حیاتی اجرای کد از راه دور (RCE) در Apache Struts 2 که مهاجمان در چند روز گذشته به طور فعال از آن سوء استفاده کردهاند، زیاد است.
Apache Struts یک فریم ورک منبع باز پرکاربرد برای ساخت برنامه های جاوا است. توسعه دهندگان می توانند از آن برای ساخت برنامه های وب ماژولار بر اساس آنچه به عنوان معماری Model-View-Controller (MVC) شناخته می شود، استفاده کنند. بنیاد نرم افزار آپاچی (ASF) باگ را فاش کرد در 7 دسامبر به آن امتیاز تقریباً حداکثری 9.8 از 10 در مقیاس CVSS داد. این آسیب پذیری، به عنوان ردیابی شد CVE-2023-50164 به نحوه مدیریت پارامترهای Struts در آپلود فایل ها و ارائه راهی به مهاجمان برای به دست آوردن کنترل کامل بر سیستم های آسیب دیده مربوط می شود.
یک مشکل امنیتی رایج که بر برنامه های جاوا تأثیر می گذارد
این نقص به دلیل رواج آن، این واقعیت که از راه دور قابل اجرا است و به دلیل اینکه کد سوء استفاده اثبات مفهوم برای آن در دسترس عموم است، نگرانی قابل توجهی را برانگیخته است. از زمان افشای این نقص در هفته گذشته، چندین فروشنده - و نهادهایی مانند ShadowServer - گزارش کرده اند که نشانه هایی از فعالیت اکسپلویت را مشاهده کرده اند که این نقص را هدف قرار می دهد.
خود ASF Apache Struts را دارای یک "پایه کاربری عظیم" توصیف کرده است، زیرا بیش از دو دهه است که وجود دارد. کارشناسان امنیتی تخمین میزنند که هزاران برنامه کاربردی در سراسر جهان وجود دارد - از جمله برنامههایی که در بسیاری از شرکتها و سازمانهای Fortune 500 در بخشهای دولتی و زیرساختهای حیاتی مورد استفاده قرار میگیرند که مبتنی بر Apache Struts هستند.
بسیاری از فناوری های فروشنده، Apache Struts 2 را نیز در خود جای داده اند. سیسکو، برای مثال، است در حال حاضر در حال بررسی است همه محصولاتی که احتمالاً تحت تأثیر این باگ هستند و قصد دارد در صورت نیاز اطلاعات و بهروزرسانیهای اضافی را منتشر کند. محصولاتی که تحت بررسی هستند شامل فناوریهای مدیریت و تامین شبکه سیسکو، محصولات صوتی و ارتباطات یکپارچه و پلتفرم همکاری مشتری آن میشوند.
این آسیبپذیری Struts نسخههای 2.5.0 تا 2.5.32 و Struts نسخههای 6.0.0 تا 6.3.0 را تحت تأثیر قرار میدهد. این اشکال در نسخه های Struts 2.0.0 تا Struts 2.3.37 نیز وجود دارد که اکنون به پایان می رسد.
ASF، فروشندگان امنیتی و نهادهایی مانند آژانس امنیت سایبری و امنیت اطلاعات ایالات متحده (CISA) توصیه کرده است که سازمان هایی که از این نرم افزار استفاده می کنند فوراً به Struts نسخه 2.5.33 یا Struts 6.3.0.2 یا بالاتر به روز رسانی کنند. به گفته ASF هیچ اقدام کاهشی برای این آسیب پذیری در دسترس نیست.
در سالهای اخیر، محققان نقصهای متعددی را در Struts کشف کردهاند. به راحتی مهم ترین آنها بود CVE-2017-5638 در سال 2017، که هزاران سازمان را تحت تأثیر قرار داد و باعث رخنه ای در Equifax شد که داده های حساس متعلق به 143 میلیون مصرف کننده آمریکایی را فاش کرد. این اشکال در واقع هنوز در اطراف شناور است - کمپین هایی که از موارد تازه کشف شده استفاده می کنند NKA استفاده از بدافزار بلاک چین، به عنوان مثال، از آن برای دسترسی اولیه استفاده می کنند.
یک اشکال خطرناک آپاچی Struts 2، اما استفاده از آن سخت است
محققان Trend Micro که این هفته آسیبپذیری جدید Apache Struts را تجزیه و تحلیل کردند آن را خطرناک اما بسیار سخت تر توصیف کرد برای بهره برداری در مقیاسی نسبت به باگ 2017، که کمی بیشتر از یک مشکل اسکن و بهره برداری بود.
محققان Trend Micro میگویند: «آسیبپذیری CVE-2023-50164 همچنان توسط طیف گستردهای از عوامل تهدید مورد سوء استفاده قرار میگیرد که از این آسیبپذیری برای انجام فعالیتهای مخرب سوء استفاده میکنند و آن را به یک خطر امنیتی مهم برای سازمانها در سراسر جهان تبدیل میکنند».
این نقص اساساً به دشمن اجازه میدهد تا پارامترهای آپلود فایل را برای فعال کردن پیمایش مسیر دستکاری کند: آنها خاطرنشان کردند: "این به طور بالقوه میتواند منجر به آپلود یک فایل مخرب شود و اجرای کد از راه دور را امکانپذیر کند."
به گفته Akamai، برای سوء استفاده از این نقص، ابتدا مهاجم باید وب سایت ها یا برنامه های کاربردی وب را با استفاده از نسخه آسیب پذیر Apache Struts اسکن و شناسایی کند. گزارشی که تجزیه و تحلیل خود از تهدید را خلاصه می کند این هفته. سپس آنها باید یک درخواست طراحی شده ویژه برای آپلود یک فایل در سایت یا برنامه وب آسیب پذیر ارسال کنند. این درخواست حاوی دستورات پنهانی است که باعث می شود سیستم آسیب پذیر فایل را در یک مکان یا دایرکتوری قرار دهد که حمله از آنجا می تواند به آن دسترسی داشته باشد و اجرای کد مخرب را در سیستم آسیب دیده آغاز کند.
"سام تینکلنبرگ، محقق ارشد امنیت در Akamai می گوید: برنامه وب باید اقدامات خاصی را برای فعال کردن آپلود فایل چند قسمتی مخرب اجرا کند. "اینکه این به طور پیش فرض فعال باشد بستگی به اجرای Struts 2 دارد. بر اساس آنچه که دیده ایم، به احتمال زیاد این چیزی است که به طور پیش فرض فعال نشده است."
دو نوع PoC Exploit برای CVE-2023-50164
Akamai گفت که تاکنون شاهد حملاتی بوده است که CVE-2023-50164 را با استفاده از PoC منتشر شده عمومی، و مجموعه دیگری از فعالیت های حمله با استفاده از چیزی که به نظر می رسد گونه ای از PoC اصلی است، هدف قرار داده است.
تینکلنبرگ می گوید: «مکانیسم بهره برداری بین این دو مجموعه حملات یکسان است. با این حال، مواردی که متفاوت هستند، نقطه پایانی و پارامتر مورد استفاده در تلاش برای بهرهبرداری هستند.
تینکلنبرگ میافزاید: الزامات یک مهاجم برای بهرهبرداری موفقیتآمیز از آسیبپذیری میتواند به میزان قابل توجهی در اجرا متفاوت باشد. اینها شامل نیاز به یک برنامه آسیبپذیر برای فعال کردن عملکرد آپلود فایل و اجازه دادن به کاربر تایید نشده برای آپلود فایلها است. اگر یک برنامه آسیبپذیر اجازه آپلود غیرمجاز کاربر را نمیدهد، مهاجم باید احراز هویت و مجوز را از طریق روشهای دیگر دریافت کند. او می گوید که مهاجم همچنین باید با استفاده از تابع آپلود فایل آسیب پذیر، نقطه پایانی را شناسایی کند.
سعید عباسی، مدیر تحقیقات آسیبپذیری و تهدید در Qualys میگوید در حالی که این آسیبپذیری در Apache Struts ممکن است در مقایسه با نقصهای قبلی به آسانی در مقیاس بزرگ قابل بهرهبرداری نباشد، حضور آن در چنین چارچوب گستردهای که به طور گسترده پذیرفته شده است، مطمئناً نگرانیهای امنیتی قابل توجهی را ایجاد میکند.
او خاطرنشان می کند: «این آسیب پذیری خاص به دلیل پیچیدگی و شرایط خاص مورد نیاز برای بهره برداری برجسته است و حملات گسترده را دشوار اما ممکن می کند». با توجه به ادغام گسترده Apache Struts در سیستم های مختلف حیاتی، پتانسیل حملات هدفمند را نمی توان دست کم گرفت.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- : دارد
- :است
- :نه
- :جایی که
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- سو استفاده کردن
- دسترسی
- مطابق
- اقدامات
- فعالانه
- فعالیت ها
- فعالیت
- بازیگران
- واقعا
- اضافی
- اطلاعات اضافی
- می افزاید:
- به تصویب رسید
- تحت تاثیر قرار
- موثر بر
- معرفی
- اجازه دادن
- اجازه می دهد تا
- همچنین
- an
- تحلیل
- تجزیه و تحلیل
- و
- دیگر
- آپاچی
- نرم افزار
- ظاهر می شود
- کاربرد
- برنامه های کاربردی
- معماری
- هستند
- دور و بر
- AS
- ASF
- At
- حمله
- حمله
- کوشش
- تصدیق
- مجوز
- در دسترس
- پایه
- مستقر
- اساسا
- BE
- زیرا
- بوده
- متعلق به
- میان
- بلاکچین
- شکاف
- اشکال
- ساختن
- بنا
- اما
- by
- مبارزات
- CAN
- نمی توان
- علت
- معین
- قطعا
- سیسکو
- رمز
- همکاری
- ارتباطات
- شرکت
- مقایسه
- کامل
- پیچیدگی
- نگرانی
- نگرانی ها
- شرایط
- قابل توجه
- مصرف کنندگان
- شامل
- ادامه
- کنترل
- میتوانست
- طراحی شده
- بحرانی
- زیرساخت های بحرانی
- مشتری
- امنیت سایبری
- خطرناک
- داده ها
- روز
- دسامبر
- دهه
- به طور پیش فرض
- بستگی دارد
- شرح داده شده
- توسعه دهندگان
- متفاوت است
- مشکل
- افشاء
- do
- میکند
- دو
- به آسانی
- قادر ساختن
- فعال
- را قادر می سازد
- نقطه پایانی
- اشخاص
- Equifax
- تخمین زدن
- اعدام
- کارشناسان
- بهره برداری
- بهره برداری
- سوء استفاده قرار گیرد
- بهره برداری از
- قرار گرفتن در معرض
- وسیع
- واقعیت
- بسیار
- کمی از
- پرونده
- فایل ها
- نام خانوادگی
- نقص
- معایب
- شناور
- برای
- ثروت
- پایه
- چارچوب
- از جانب
- تابع
- افزایش
- به
- داده
- می دهد
- دولت
- بیشتر
- دستگیره
- سخت
- آیا
- داشتن
- he
- پنهان
- زیاد
- چگونه
- اما
- HTML
- HTTPS
- بزرگ
- شناسایی
- if
- بلافاصله
- پیاده سازی
- اجرا
- in
- شامل
- از جمله
- ترکیب کردن
- اطلاعات
- امنیت اطلاعات
- شالوده
- اول
- نمونه
- ادغام
- موضوع
- IT
- اقلام
- ITS
- خود
- جاوه
- JPG
- شناخته شده
- بزرگ
- نام
- احتمالا
- کوچک
- محل
- ساخت
- نرم افزارهای مخرب
- مدیریت
- مدیر
- بسیاری
- بیشترین
- به معنی
- مکانیزم
- میکرو
- قدرت
- میلیون
- پیمانهای
- بیش
- اکثر
- چندگانه
- باید
- نزدیک
- نیاز
- ضروری
- شبکه
- جدید
- نیست
- نه
- اشاره کرد
- یادداشت
- اکنون
- متعدد
- of
- on
- باز کن
- منبع باز
- or
- سازمان های
- اصلی
- دیگر
- خارج
- روی
- پارامتر
- پارامترهای
- ویژه
- گذشته
- وصله
- مسیر
- انجام
- محل
- برنامه
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- پوک
- ممکن
- پتانسیل
- بالقوه
- حضور
- در حال حاضر
- شایع
- قبلی
- محصولات
- عمومی
- افزایش
- محدوده
- رتبه
- به راحتی
- اخیر
- تازه
- توصیه می شود
- آزاد
- منتشر شد
- دور
- از راه دور
- گزارش
- درخواست
- ضروری
- مورد نیاز
- تحقیق
- پژوهشگر
- محققان
- نتیجه
- خطر
- s
- سعید
- سام
- همان
- می گوید:
- مقیاس
- اسکن
- بررسی موشکافانه
- بخش ها
- تیم امنیت لاتاری
- مشاهده
- مشاهده گردید
- ارسال
- ارشد
- حساس
- تنظیم
- مجموعه
- قابل توجه
- به طور قابل توجهی
- نشانه ها
- پس از
- سایت
- So
- تا حالا
- نرم افزار
- چیزی
- منبع
- مخصوصاً
- خاص
- سرسام آور
- می ایستد
- هنوز
- موفقیت
- چنین
- سیستم
- سیستم های
- هدف قرار
- هدف گذاری
- فن آوری
- نسبت به
- که
- La
- آنها
- سپس
- آنجا.
- اینها
- آنها
- این
- این هفته
- کسانی که
- هزاران نفر
- تهدید
- بازیگران تهدید
- به
- روند
- ماشه
- دو
- غیر مجاز
- زیر
- یکپارچه
- بروزرسانی
- به روز رسانی
- آپلود
- us
- استفاده کنید
- استفاده
- کاربر
- با استفاده از
- نوع دیگر
- مختلف
- فروشنده
- فروشندگان
- نسخه
- نسخه
- از طريق
- صدا
- آسیب پذیری
- آسیب پذیر
- بود
- مسیر..
- we
- وب
- برنامه تحت وب
- برنامه های وب
- وب سایت
- هفته
- خوب
- چی
- چه شده است
- چه زمانی
- چه
- که
- WHO
- وسیع
- دامنه گسترده
- به طور گسترده ای
- بطور گسترده
- با
- در سرتاسر جهان
- خواهد بود
- سال
- زفیرنت