Patch Now: Hyödynnä Activity Mounts of Dangerous Apache Struts 2 Bug

Huolet ovat suuria Apache Struts 2:n kriittisestä, äskettäin paljastetusta etäkoodin suorittamisen (RCE) haavoittuvuudesta, jota hyökkääjät ovat käyttäneet aktiivisesti viime päivinä.

Apache Struts on laajalti käytetty avoimen lähdekoodin kehys Java-sovellusten rakentamiseen. Kehittäjät voivat käyttää sitä modulaaristen Web-sovellusten rakentamiseen, jotka perustuvat niin kutsuttuun Model-View-Controller (MVC) -arkkitehtuuriin. Apache Software Foundation (ASF) paljasti bugin 7. joulukuuta ja antoi sille lähes maksimaalisen vakavuusluokituksen 9.8/10 CVSS-asteikolla. Haavoittuvuus, jäljitetty nimellä CVE-2023-50164 liittyy siihen, miten Struts käsittelee parametreja tiedostojen latauksissa ja antaa hyökkääjille tavan saada täysin hallintaan vaikuttavia järjestelmiä.

Laajalti yleinen Java-sovelluksiin vaikuttava tietoturvaongelma

Virhe on herättänyt suurta huolta sen yleisyydestään, etäsuoritettavuudesta ja siitä, että sitä varten on julkisesti saatavilla proof-of-concept -käyttökoodia. Vian paljastamisen jälkeen viime viikolla useat myyjät - ja yhteisöt, kuten ShadowServer — ovat ilmoittaneet nähneensä merkkejä virheeseen kohdistuvasta hyväksikäytöstä.

ASF itse on kuvaillut Apache Strutsia "valtavaksi käyttäjäkunnaksi", koska se on ollut olemassa yli kaksi vuosikymmentä. Tietoturvaasiantuntijat arvioivat, että maailmanlaajuisesti on tuhansia Apache Strutsiin perustuvia sovelluksia – mukaan lukien ne, joita käytetään monissa Fortune 500 -yrityksissä ja organisaatioissa valtion ja kriittisen infrastruktuurin aloilla.  

Monet myyjätekniikat sisältävät myös Apache Struts 2:n. Esimerkiksi Cisco on tutkitaan parhaillaan kaikki tuotteet, joihin vika todennäköisesti vaikuttaa, ja aikoo julkaista tarvittaessa lisätietoja ja päivityksiä. Tarkastelun kohteena olevia tuotteita ovat muun muassa Ciscon verkonhallinta- ja provisiointiteknologiat, puhe- ja yhdistetyt viestintätuotteet sekä asiakasyhteistyöalusta.

Haavoittuvuus vaikuttaa Strutsin versioihin 2.5.0–2.5.32 ja Strutsin versioihin 6.0.0–6.3.0. Virhe esiintyy myös Struts-versioissa 2.0.0 - Struts 2.3.37, jotka ovat nyt käyttöikänsä lopussa.

ASF, tietoturvatoimittajat ja yhteisöt, kuten Yhdysvaltain kyberturvallisuus- ja tietoturvavirasto (CISA) ovat suositelleet, että ohjelmistoa käyttävät organisaatiot päivittävät välittömästi Struts-versioon 2.5.33 tai Struts 6.3.0.2:een tai uudempaan. ASF:n mukaan haavoittuvuuteen ei ole saatavilla lievennyksiä.

Viime vuosina tutkijat ovat löytäneet Strutsissa lukuisia puutteita. Helposti merkittävin niistä oli CVE-2017-5638 vuonna 2017, mikä vaikutti tuhansiin organisaatioihin ja mahdollisti tietomurron Equifaxissa, joka paljasti arkaluontoiset tiedot, jotka kuuluivat hämmästyttäville 143 miljoonalle yhdysvaltalaiselle kuluttajalle. Tämä bugi leijuu edelleen – kampanjoissa, joissa käytetään juuri löydettyä NKAbuse blockchain -haittaohjelma, esimerkiksi hyödyntävät sitä ensikäyttöön.

Vaarallinen Apache Struts 2 -vika, mutta vaikeasti hyödynnettävä

Trend Micron tutkijat, jotka analysoivat uutta Apache Struts -haavoittuvuutta tällä viikolla kuvaili sitä vaaralliseksi, mutta huomattavasti vaikeammaksi hyödyntää laajemmassa mittakaavassa kuin 2017 bugi, joka ei ollut muuta kuin skannaus- ja hyödyntämisongelma.  

"CVE-2023-50164-haavoittuvuutta hyödyntävät edelleen laajasti monet uhkatoimijat, jotka käyttävät tätä haavoittuvuutta väärin suorittaakseen haitallisia toimia, mikä tekee siitä merkittävän tietoturvariskin organisaatioille maailmanlaajuisesti", Trend Micron tutkijat sanoivat.

Virhe periaatteessa sallii vastustajan manipuloida tiedostojen latausparametreja polun läpikulkua varten: "Tämä voi mahdollisesti johtaa haitallisen tiedoston lataamiseen, mikä mahdollistaa koodin etäsuorittamisen", he huomauttivat.

Hyödyntääkseen puutetta hyökkääjän on ensin etsittävä ja tunnistettava verkkosivustoja tai verkkosovelluksia käyttämällä haavoittuvaa Apache Struts -versiota, Akamai sanoi. raportissa, jossa on yhteenveto sen uhka-analyysistä Tämä viikko. Tämän jälkeen heidän on lähetettävä erityisesti muotoiltu pyyntö ladata tiedosto haavoittuvaan sivustoon tai verkkosovellukseen. Pyyntö sisältäisi piilotettuja komentoja, jotka saisivat haavoittuvan järjestelmän sijoittamaan tiedoston paikkaan tai hakemistoon, josta hyökkäys voisi käyttää sitä ja käynnistää haitallisen koodin suorittamisen kyseisessä järjestelmässä.

"Web-sovelluksessa on oltava tietyt toiminnot, jotka mahdollistavat haitallisen moniosaisen tiedoston lataamisen", sanoo Sam Tinklenberg, vanhempi tietoturvatutkija Akamailta. "Se, onko tämä oletusarvoisesti käytössä, riippuu Struts 2:n toteutuksesta. Nähtyämme perusteella on todennäköisempää, että tämä ei ole oletusarvoisesti käytössä."

Kaksi PoC Exploit -versiota CVE-2023-50164:lle

Akamai sanoi, että se on toistaiseksi nähnyt hyökkäyksiä, jotka kohdistuvat CVE-2023-50164:ään käyttämällä julkisesti julkaistua PoC:tä, ja muita hyökkäystoimintoja käyttämällä alkuperäisen PoC:n muunnelmaa.

"Hyödyntämismekanismi on sama näiden kahden" hyökkäyssarjan välillä, Tinklenberg sanoo. "Kuitenkin kohteet, jotka eroavat toisistaan, ovat päätepiste ja parametri, joita käytetään hyväksikäyttöyrityksessä."

Vaatimukset hyökkääjälle haavoittuvuuden menestyksekkääseen hyödyntämiseen voivat vaihdella merkittävästi toteutuksen mukaan, Tinklenberg lisää. Näitä ovat tarve, että haavoittuvassa sovelluksessa on oltava tiedostojen lataustoiminto käytössä ja että se sallii todentamattoman käyttäjän ladata tiedostoja. Jos haavoittuva sovellus ei salli luvatonta käyttäjien lataamista, hyökkääjän on hankittava todennus ja valtuutus muilla tavoilla. Hyökkääjän olisi myös tunnistettava päätepiste käyttämällä haavoittuvien tiedostojen lataustoimintoa, hän sanoo.

Vaikka tämä Apache Strutsin haavoittuvuus ei ehkä ole yhtä helposti hyödynnettävissä suuressa mittakaavassa aiempiin puutteisiin verrattuna, sen esiintyminen niin laajasti hyväksytyssä kehyksessä aiheuttaa varmasti merkittäviä turvallisuusongelmia, sanoo Qualysin haavoittuvuus- ja uhkatutkimuksen johtaja Saeed Abbasi.

"Tämä haavoittuvuus erottuu joukosta monimutkaisuutensa ja hyväksikäytön edellyttämien erityisolosuhteiden vuoksi, mikä tekee laajalle levinneistä hyökkäyksistä vaikeita, mutta mahdollisia", hän huomauttaa. "Koska Apache Strutsin laaja integraatio useisiin kriittisiin järjestelmiin, kohdistettujen hyökkäysten mahdollisuuksia ei voida aliarvioida."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug