Javítás most: Használja ki az Activity rögzítőket a Dangerous Apache Struts 2 hibához

Nagy aggodalomra ad okot az Apache Struts 2 kritikus, nemrégiben nyilvánosságra hozott távoli kódvégrehajtási (RCE) biztonsági rése, amelyet a támadók az elmúlt napokban aktívan kihasználtak.

Az Apache Struts egy széles körben használt nyílt forráskódú keretrendszer Java alkalmazások készítésére. A fejlesztők moduláris webalkalmazások készítésére használhatják az úgynevezett Model-View-Controller (MVC) architektúrán. Az Apache Software Foundation (ASF) felfedte a hibát december 7-én, és a CVSS skálán közel 9.8-as 10-es súlyossági besorolást adott neki. A sebezhetőség, nyomon követése: CVE-2023 50164- összefügg azzal, hogy a Struts hogyan kezeli a paramétereket a fájlfeltöltéseknél, és lehetőséget ad a támadóknak, hogy teljes irányítást szerezzenek az érintett rendszerek felett.

Széles körben elterjedt biztonsági probléma, amely a Java-alkalmazásokat érinti

A hiba komoly aggodalmakat váltott ki az elterjedtsége, a távolról végrehajtható ténye, valamint azért, mert nyilvánosan elérhető a koncepciót igazoló kód. A hiba múlt heti nyilvánosságra hozatala óta több szállító – és olyan entitások, mint pl ShadowServer – arról számoltak be, hogy a hibát célzó kizsákmányoló tevékenység jeleit észlelték.

Maga az ASF úgy írta le az Apache Struts-ot, mint „hatalmas felhasználói bázist”, mivel több mint két évtizede létezik. Biztonsági szakértők becslése szerint világszerte több ezer olyan alkalmazás létezik – beleértve azokat is, amelyeket számos Fortune 500-as vállalat és szervezet használ kormányzati és kritikus infrastrukturális szektorokban –, amelyek az Apache Struts-on alapulnak.  

Számos gyártói technológia magában foglalja az Apache Struts 2-t is. A Cisco például az jelenleg vizsgálja minden olyan termék, amelyet valószínűleg érint a hiba, és szükség esetén további információkat és frissítéseket kíván kiadni. A vizsgált termékek közé tartozik a Cisco hálózatkezelési és -kiépítési technológiái, hang- és egyesített kommunikációs termékei, valamint ügyfél-együttműködési platformja.

A biztonsági rés a Struts 2.5.0–2.5.32-es verzióit és a 6.0.0–6.3.0-s Struts-verziókat érinti. A hiba a Struts 2.0.0-tól 2.3.37-ig terjedő verzióiban is megtalálható, amelyek már életük végére járnak.

Az ASF, a biztonsági szállítók és az olyan entitások, mint a Amerikai Kiberbiztonsági és Információbiztonsági Ügynökség (CISA) azt javasolták, hogy a szoftvert használó szervezetek azonnal frissítsenek a Struts 2.5.33-as vagy 6.3.0.2-es vagy újabb verziójára. Az ASF szerint a sérülékenység enyhítésére nincs lehetőség.

Az elmúlt években a kutatók számos hibára tártak fel a Strutsban. Könnyen a legjelentősebb közülük az volt CVE-2017 5638- 2017-ben, amely több ezer szervezetet érintett, és lehetővé tette az Equifax-nál történt jogsértést, amely 143 millió amerikai fogyasztó érzékeny adatait tette közzé. Ez a hiba valójában még mindig lebeg – a most felfedezett kampányokat használó kampányok NKAbuse blokklánc rosszindulatú program, például a kezdeti hozzáféréshez használják ki.

Veszélyes Apache Struts 2 hiba, de nehéz kihasználni

A Trend Micro kutatói, akik ezen a héten elemezték az új Apache Struts sebezhetőséget veszélyesnek, de sokkal nehezebbnek nevezte a 2017-es hibához képest, ami alig volt több, mint egy vizsgálati és kihasználási probléma.  

"A CVE-2023-50164 sebezhetőséget továbbra is széles körben használják ki a fenyegetést okozó szereplők széles köre, akik rosszindulatú tevékenységek végrehajtására használják fel ezt a sérülékenységet, így világszerte jelentős biztonsági kockázatot jelentenek a szervezetek számára" - mondták a Trend Micro kutatói.

A hiba alapvetően lehetővé teszi az ellenfél számára, hogy manipulálja a fájlfeltöltési paramétereket, hogy lehetővé tegye az útvonal bejárását: „Ez potenciálisan rosszindulatú fájl feltöltését eredményezheti, lehetővé téve a távoli kódfuttatást” – jegyezték meg.

A hiba kihasználásához a támadónak először webhelyeket vagy webalkalmazásokat kell keresnie és azonosítania egy sebezhető Apache Struts verziót használva, mondta Akamai. jelentést, amely összefoglalja a fenyegetés elemzését ezen a héten. Ezután speciálisan kialakított kérést kell küldeniük egy fájl feltöltésére a sebezhető webhelyre vagy webalkalmazásra. A kérés rejtett parancsokat tartalmazna, amelyek hatására a sérülékeny rendszer olyan helyre vagy könyvtárba helyezi a fájlt, ahonnan a támadás hozzáférhet, és rosszindulatú kódot futtathat az érintett rendszeren.

"A webalkalmazásnak rendelkeznie kell bizonyos műveletekkel, hogy lehetővé tegye a rosszindulatú többrészes fájlok feltöltését” – mondja Sam Tinklenberg, az Akamai vezető biztonsági kutatója. "Az, hogy ez alapértelmezés szerint engedélyezve van-e, a Struts 2 megvalósításától függ. A látottak alapján valószínűbb, hogy ez alapértelmezés szerint nincs engedélyezve."

Két PoC exploit változat a CVE-2023-50164-hez

Az Akamai elmondta, hogy eddig látott támadásokat a CVE-2023-50164 ellen a nyilvánosan kiadott PoC használatával, és egy másik támadási tevékenységet az eredeti PoC egy változatának tűnő változatával.

Tinklenberg szerint „a kihasználási mechanizmus ugyanaz a két” támadássorozat között. "Azonban az eltérő elemek a hasznosítási kísérletben használt végpont és paraméter."

Tinklenberg hozzáteszi, hogy a támadókkal szemben támasztott követelmények a biztonsági rés sikeres kihasználásához jelentősen eltérhetnek a megvalósítástól függően. Ezek közé tartozik az, hogy egy sebezhető alkalmazásnak engedélyezve kell lennie a fájlfeltöltési funkciónak, és lehetővé kell tennie a nem hitelesített felhasználók számára a fájlok feltöltését. Ha egy sebezhető alkalmazás nem teszi lehetővé a jogosulatlan felhasználói feltöltést, a támadónak más módon kell hitelesítést és felhatalmazást szereznie. A támadónak a sebezhető fájl feltöltési funkciójával is azonosítania kell a végpontot, mondja.

Noha az Apache Struts sérülékenysége nem lehet olyan könnyen kihasználható nagy léptékben, mint a korábbi hibák, jelenléte egy ilyen széles körben elfogadott keretrendszerben minden bizonnyal komoly biztonsági aggályokat vet fel, mondja Saeed Abbasi, a Qualys sebezhetőségi és fenyegetési kutatási vezetője.

„Ez a különleges sérülékenység összetettsége és a kizsákmányoláshoz szükséges speciális feltételek miatt tűnik ki, ami megnehezíti, de lehetségessé teszi a széles körben elterjedt támadásokat” – jegyzi meg. "Tekintettel az Apache Struts különféle kritikus rendszerekbe való kiterjedt integrációjára, nem lehet alábecsülni a célzott támadások lehetőségét."

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug