Nagy aggodalomra ad okot az Apache Struts 2 kritikus, nemrégiben nyilvánosságra hozott távoli kódvégrehajtási (RCE) biztonsági rése, amelyet a támadók az elmúlt napokban aktívan kihasználtak.
Az Apache Struts egy széles körben használt nyílt forráskódú keretrendszer Java alkalmazások készítésére. A fejlesztők moduláris webalkalmazások készítésére használhatják az úgynevezett Model-View-Controller (MVC) architektúrán. Az Apache Software Foundation (ASF) felfedte a hibát december 7-én, és a CVSS skálán közel 9.8-as 10-es súlyossági besorolást adott neki. A sebezhetőség, nyomon követése: CVE-2023 50164- összefügg azzal, hogy a Struts hogyan kezeli a paramétereket a fájlfeltöltéseknél, és lehetőséget ad a támadóknak, hogy teljes irányítást szerezzenek az érintett rendszerek felett.
Széles körben elterjedt biztonsági probléma, amely a Java-alkalmazásokat érinti
A hiba komoly aggodalmakat váltott ki az elterjedtsége, a távolról végrehajtható ténye, valamint azért, mert nyilvánosan elérhető a koncepciót igazoló kód. A hiba múlt heti nyilvánosságra hozatala óta több szállító – és olyan entitások, mint pl ShadowServer – arról számoltak be, hogy a hibát célzó kizsákmányoló tevékenység jeleit észlelték.
Maga az ASF úgy írta le az Apache Struts-ot, mint „hatalmas felhasználói bázist”, mivel több mint két évtizede létezik. Biztonsági szakértők becslése szerint világszerte több ezer olyan alkalmazás létezik – beleértve azokat is, amelyeket számos Fortune 500-as vállalat és szervezet használ kormányzati és kritikus infrastrukturális szektorokban –, amelyek az Apache Struts-on alapulnak.
Számos gyártói technológia magában foglalja az Apache Struts 2-t is. A Cisco például az jelenleg vizsgálja minden olyan termék, amelyet valószínűleg érint a hiba, és szükség esetén további információkat és frissítéseket kíván kiadni. A vizsgált termékek közé tartozik a Cisco hálózatkezelési és -kiépítési technológiái, hang- és egyesített kommunikációs termékei, valamint ügyfél-együttműködési platformja.
A biztonsági rés a Struts 2.5.0–2.5.32-es verzióit és a 6.0.0–6.3.0-s Struts-verziókat érinti. A hiba a Struts 2.0.0-tól 2.3.37-ig terjedő verzióiban is megtalálható, amelyek már életük végére járnak.
Az ASF, a biztonsági szállítók és az olyan entitások, mint a Amerikai Kiberbiztonsági és Információbiztonsági Ügynökség (CISA) azt javasolták, hogy a szoftvert használó szervezetek azonnal frissítsenek a Struts 2.5.33-as vagy 6.3.0.2-es vagy újabb verziójára. Az ASF szerint a sérülékenység enyhítésére nincs lehetőség.
Az elmúlt években a kutatók számos hibára tártak fel a Strutsban. Könnyen a legjelentősebb közülük az volt CVE-2017 5638- 2017-ben, amely több ezer szervezetet érintett, és lehetővé tette az Equifax-nál történt jogsértést, amely 143 millió amerikai fogyasztó érzékeny adatait tette közzé. Ez a hiba valójában még mindig lebeg – a most felfedezett kampányokat használó kampányok NKAbuse blokklánc rosszindulatú program, például a kezdeti hozzáféréshez használják ki.
Veszélyes Apache Struts 2 hiba, de nehéz kihasználni
A Trend Micro kutatói, akik ezen a héten elemezték az új Apache Struts sebezhetőséget veszélyesnek, de sokkal nehezebbnek nevezte a 2017-es hibához képest, ami alig volt több, mint egy vizsgálati és kihasználási probléma.
"A CVE-2023-50164 sebezhetőséget továbbra is széles körben használják ki a fenyegetést okozó szereplők széles köre, akik rosszindulatú tevékenységek végrehajtására használják fel ezt a sérülékenységet, így világszerte jelentős biztonsági kockázatot jelentenek a szervezetek számára" - mondták a Trend Micro kutatói.
A hiba alapvetően lehetővé teszi az ellenfél számára, hogy manipulálja a fájlfeltöltési paramétereket, hogy lehetővé tegye az útvonal bejárását: „Ez potenciálisan rosszindulatú fájl feltöltését eredményezheti, lehetővé téve a távoli kódfuttatást” – jegyezték meg.
A hiba kihasználásához a támadónak először webhelyeket vagy webalkalmazásokat kell keresnie és azonosítania egy sebezhető Apache Struts verziót használva, mondta Akamai. jelentést, amely összefoglalja a fenyegetés elemzését ezen a héten. Ezután speciálisan kialakított kérést kell küldeniük egy fájl feltöltésére a sebezhető webhelyre vagy webalkalmazásra. A kérés rejtett parancsokat tartalmazna, amelyek hatására a sérülékeny rendszer olyan helyre vagy könyvtárba helyezi a fájlt, ahonnan a támadás hozzáférhet, és rosszindulatú kódot futtathat az érintett rendszeren.
"A webalkalmazásnak rendelkeznie kell bizonyos műveletekkel, hogy lehetővé tegye a rosszindulatú többrészes fájlok feltöltését” – mondja Sam Tinklenberg, az Akamai vezető biztonsági kutatója. "Az, hogy ez alapértelmezés szerint engedélyezve van-e, a Struts 2 megvalósításától függ. A látottak alapján valószínűbb, hogy ez alapértelmezés szerint nincs engedélyezve."
Két PoC exploit változat a CVE-2023-50164-hez
Az Akamai elmondta, hogy eddig látott támadásokat a CVE-2023-50164 ellen a nyilvánosan kiadott PoC használatával, és egy másik támadási tevékenységet az eredeti PoC egy változatának tűnő változatával.
Tinklenberg szerint „a kihasználási mechanizmus ugyanaz a két” támadássorozat között. "Azonban az eltérő elemek a hasznosítási kísérletben használt végpont és paraméter."
Tinklenberg hozzáteszi, hogy a támadókkal szemben támasztott követelmények a biztonsági rés sikeres kihasználásához jelentősen eltérhetnek a megvalósítástól függően. Ezek közé tartozik az, hogy egy sebezhető alkalmazásnak engedélyezve kell lennie a fájlfeltöltési funkciónak, és lehetővé kell tennie a nem hitelesített felhasználók számára a fájlok feltöltését. Ha egy sebezhető alkalmazás nem teszi lehetővé a jogosulatlan felhasználói feltöltést, a támadónak más módon kell hitelesítést és felhatalmazást szereznie. A támadónak a sebezhető fájl feltöltési funkciójával is azonosítania kell a végpontot, mondja.
Noha az Apache Struts sérülékenysége nem lehet olyan könnyen kihasználható nagy léptékben, mint a korábbi hibák, jelenléte egy ilyen széles körben elfogadott keretrendszerben minden bizonnyal komoly biztonsági aggályokat vet fel, mondja Saeed Abbasi, a Qualys sebezhetőségi és fenyegetési kutatási vezetője.
„Ez a különleges sérülékenység összetettsége és a kizsákmányoláshoz szükséges speciális feltételek miatt tűnik ki, ami megnehezíti, de lehetségessé teszi a széles körben elterjedt támadásokat” – jegyzi meg. "Tekintettel az Apache Struts különféle kritikus rendszerekbe való kiterjedt integrációjára, nem lehet alábecsülni a célzott támadások lehetőségét."
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- :van
- :is
- :nem
- :ahol
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- visszaélés
- hozzáférés
- Szerint
- cselekvések
- aktívan
- tevékenységek
- tevékenység
- szereplők
- tulajdonképpen
- További
- további információ
- Hozzáteszi
- fogadott
- érintett
- érintő
- Minden termék
- lehetővé
- lehetővé teszi, hogy
- Is
- an
- elemzés
- elemzett
- és a
- Másik
- Apache
- app
- Megjelenik
- Alkalmazás
- alkalmazások
- építészet
- VANNAK
- körül
- AS
- ASF
- At
- támadás
- Támadások
- kísérlet
- Hitelesítés
- meghatalmazás
- elérhető
- bázis
- alapján
- Alapvetően
- BE
- mert
- óta
- tartozó
- között
- blockchain
- megsértése
- Bogár
- épít
- Épület
- de
- by
- Kampányok
- TUD
- nem tud
- Okoz
- bizonyos
- biztosan
- Cisco
- kód
- együttműködés
- távközlés
- Companies
- képest
- teljes
- bonyolultság
- Vonatkozik
- aggodalmak
- Körülmények
- tekintélyes
- Fogyasztók
- tartalmaz
- tovább
- ellenőrzés
- tudott
- kidolgozott
- kritikai
- Kritikus infrastruktúra
- vevő
- Kiberbiztonság
- Veszélyes
- dátum
- Nap
- december
- évtizedek
- alapértelmezett
- függ
- leírt
- fejlesztők
- különbözik
- nehéz
- közzététel
- do
- nem
- két
- könnyen
- lehetővé
- engedélyezve
- lehetővé téve
- Endpoint
- Szervezetek
- Equifax
- becslés
- végrehajtás
- szakértők
- Exploit
- kizsákmányolás
- Hasznosított
- kiaknázása
- kitett
- kiterjedt
- tény
- messze
- kevés
- filé
- Fájlok
- vezetéknév
- hibája
- hibái
- úszó
- A
- Szerencse
- Alapítvány
- Keretrendszer
- ból ből
- funkció
- Nyereség
- adott
- adott
- ad
- Kormány
- nagyobb
- Fogantyúk
- Kemény
- Legyen
- tekintettel
- he
- Rejtett
- Magas
- Hogyan
- azonban
- HTML
- HTTPS
- hatalmas
- azonosítani
- if
- azonnal
- végrehajtás
- végre
- in
- tartalmaz
- Beleértve
- bele
- információ
- információ biztonság
- Infrastruktúra
- kezdetben
- példa
- integráció
- kérdés
- IT
- tételek
- ITS
- maga
- Jáva
- jpg
- ismert
- nagy
- keresztnév
- Valószínű
- kis
- elhelyezkedés
- Gyártás
- malware
- vezetés
- menedzser
- sok
- maximális
- eszközök
- mechanizmus
- mikro
- esetleg
- millió
- moduláris
- több
- a legtöbb
- többszörös
- kell
- Közel
- Szükség
- szükséges
- hálózat
- Új
- nst
- nem
- neves
- Megjegyzések
- Most
- számos
- of
- on
- nyitva
- nyílt forráskódú
- or
- szervezetek
- eredeti
- Más
- ki
- felett
- paraméter
- paraméterek
- különös
- múlt
- Tapasz
- ösvény
- Teljesít
- Hely
- tervek
- emelvény
- Plató
- Platón adatintelligencia
- PlatoData
- PoC
- lehetséges
- potenciális
- potenciálisan
- jelenlét
- be
- uralkodó
- előző
- Termékek
- nyilvánosan
- emelés
- hatótávolság
- értékelés
- készségesen
- új
- nemrég
- ajánlott
- engedje
- felszabaduló
- távoli
- távolról
- Számolt
- kérni
- kötelező
- követelmények
- kutatás
- kutató
- kutatók
- eredményez
- Kockázat
- s
- Mondott
- Sam
- azonos
- azt mondja,
- Skála
- beolvasás
- ellenőrzéssel
- ágazatok
- biztonság
- látás
- látott
- küld
- idősebb
- érzékeny
- készlet
- Szettek
- jelentős
- jelentősen
- Jelek
- óta
- weboldal
- So
- eddig
- szoftver
- valami
- forrás
- különösen
- különleges
- tántorgó
- állványok
- Még mindig
- sikeresen
- ilyen
- rendszer
- Systems
- célzott
- célzás
- Technologies
- mint
- hogy
- A
- Őket
- akkor
- Ott.
- Ezek
- ők
- ezt
- ezen a héten
- azok
- ezer
- fenyegetés
- fenyegetés szereplői
- nak nek
- tendencia
- kiváltó
- kettő
- jogtalan
- alatt
- egységes
- Frissítések
- Frissítés
- Feltöltés
- us
- használ
- használt
- használó
- segítségével
- Változat
- különféle
- eladó
- gyártók
- változat
- verzió
- keresztül
- Hang
- sebezhetőség
- Sebezhető
- volt
- Út..
- we
- háló
- webalkalmazás
- webes alkalmazások
- honlapok
- hét
- JÓL
- Mit
- Mi
- amikor
- vajon
- ami
- WHO
- széles
- Széleskörű
- széles körben
- széles körben elterjedt
- val vel
- világszerte
- lenne
- év
- zephyrnet