Patch Sekarang: Eksploitasi Aktivitas Mount untuk Bug Apache Struts 2 yang Berbahaya

Kekhawatiran tinggi terhadap kerentanan eksekusi kode jarak jauh (RCE) yang kritis dan baru-baru ini diungkapkan di Apache Struts 2 yang telah dieksploitasi secara aktif oleh penyerang selama beberapa hari terakhir.

Apache Struts adalah kerangka kerja sumber terbuka yang banyak digunakan untuk membangun aplikasi Java. Pengembang dapat menggunakannya untuk membangun aplikasi Web modular berdasarkan apa yang dikenal sebagai arsitektur Model-View-Controller (MVC). Yayasan Perangkat Lunak Apache (ASF) mengungkapkan bug tersebut pada tanggal 7 Desember dan memberikannya peringkat keparahan mendekati maksimum yaitu 9.8 dari 10 pada skala CVSS. Kerentanannya, dilacak sebagai CVE-2023-50164 berkaitan dengan bagaimana Struts menangani parameter dalam unggahan file dan memberi penyerang cara untuk mendapatkan kendali penuh atas sistem yang terpengaruh.

Masalah Keamanan Umum yang Mempengaruhi Aplikasi Java

Cacat ini telah menimbulkan kekhawatiran besar karena prevalensinya, fakta bahwa ia dapat dieksekusi dari jarak jauh, dan karena kode eksploitasi bukti konsep tersedia untuk umum. Sejak pengungkapan kelemahan tersebut minggu lalu, banyak vendor — dan entitas seperti Server Bayangan — telah melaporkan melihat tanda-tanda aktivitas eksploitasi yang menargetkan kelemahan tersebut.

ASF sendiri menggambarkan Apache Struts memiliki “basis pengguna yang besar,” karena fakta bahwa Apache Struts telah ada selama lebih dari dua dekade. Pakar keamanan memperkirakan ada ribuan aplikasi di seluruh dunia — termasuk yang digunakan di banyak perusahaan dan organisasi Fortune 500 di pemerintahan dan sektor infrastruktur penting — yang berbasis pada Apache Struts.  

Banyak teknologi vendor juga menyertakan Apache Struts 2. Cisco, misalnya, adalah saat ini sedang menyelidiki semua produk yang mungkin terpengaruh oleh bug dan berencana untuk merilis informasi tambahan dan pembaruan bila diperlukan. Produk-produk yang berada dalam pengawasan termasuk teknologi manajemen dan penyediaan jaringan Cisco, produk-produk komunikasi suara dan terpadu, serta platform kolaborasi pelanggannya.

Kerentanan ini memengaruhi Struts versi 2.5.0 hingga 2.5.32 dan Struts versi 6.0.0 hingga 6.3.0. Bug ini juga terdapat di Struts versi 2.0.0 hingga Struts 2.3.37, yang kini sudah habis masa pakainya.

ASF, vendor keamanan dan entitas seperti Badan Keamanan Siber dan Informasi AS (CISA) telah merekomendasikan agar organisasi yang menggunakan perangkat lunak ini segera memperbarui ke Struts versi 2.5.33 atau Struts 6.3.0.2 atau lebih tinggi. Tidak ada mitigasi yang tersedia untuk kerentanan ini, menurut ASF.

Dalam beberapa tahun terakhir, para peneliti telah menemukan banyak kelemahan pada Struts. Yang paling penting dari mereka adalah CVE-2017-5638 pada tahun 2017, yang berdampak pada ribuan organisasi dan memungkinkan terjadinya pelanggaran di Equifax yang mengungkap data sensitif milik 143 juta konsumen AS. Bug tersebut sebenarnya masih beredar — kampanye menggunakan bug yang baru ditemukan NKMenyalahgunakan malware blockchain, misalnya, mengeksploitasinya untuk akses awal.

Bug Apache Struts 2 yang Berbahaya, tetapi Sulit untuk Dieksploitasi

Para peneliti di Trend Micro yang menganalisis kerentanan baru Apache Struts minggu ini menggambarkannya sebagai hal yang berbahaya tetapi jauh lebih sulit untuk dieksploitasi dalam skala besar dibandingkan bug tahun 2017, yang tidak lebih dari sekadar masalah pemindaian dan eksploitasi.  

“Kerentanan CVE-2023-50164 terus dieksploitasi secara luas oleh berbagai pelaku ancaman yang menyalahgunakan kerentanan ini untuk melakukan aktivitas jahat, menjadikannya risiko keamanan yang signifikan bagi organisasi di seluruh dunia,” kata peneliti Trend Micro.

Cacat ini pada dasarnya memungkinkan musuh untuk memanipulasi parameter pengunggahan file untuk mengaktifkan penjelajahan jalur: “Ini berpotensi mengakibatkan pengunggahan file berbahaya, memungkinkan eksekusi kode jarak jauh,” catat mereka.

Untuk mengeksploitasi kelemahan ini, penyerang pertama-tama perlu memindai dan mengidentifikasi situs web atau aplikasi Web menggunakan versi Apache Struts yang rentan, kata Akamai dalam sebuah laporan yang merangkum analisis ancaman tersebut minggu ini. Mereka kemudian perlu mengirimkan permintaan yang dibuat khusus untuk mengunggah file ke situs atau aplikasi Web yang rentan. Permintaan tersebut akan berisi perintah tersembunyi yang akan menyebabkan sistem yang rentan menempatkan file di lokasi atau direktori tempat serangan dapat mengaksesnya dan memicu eksekusi kode berbahaya pada sistem yang terpengaruh.

"Aplikasi Web harus menerapkan tindakan tertentu untuk memungkinkan pengunggahan file multibagian yang berbahaya,” kata Sam Tinklenberg, peneliti keamanan senior di Akamai. “Apakah ini diaktifkan secara default tergantung pada implementasi Struts 2. Berdasarkan apa yang telah kami lihat, kemungkinan besar ini bukan sesuatu yang diaktifkan secara default.”

Dua Varian Eksploitasi PoC untuk CVE-2023-50164

Akamai mengatakan sejauh ini pihaknya telah melihat serangan yang menargetkan CVE-2023-50164 menggunakan PoC yang dirilis secara publik, dan serangkaian aktivitas serangan lainnya menggunakan apa yang tampaknya merupakan varian dari PoC asli.

“Mekanisme eksploitasi antara kedua rangkaian serangan tersebut sama,” kata Tinklenberg. “Namun, item yang berbeda adalah titik akhir dan parameter yang digunakan dalam upaya eksploitasi.”

Persyaratan bagi penyerang agar berhasil mengeksploitasi kerentanan dapat sangat bervariasi berdasarkan penerapannya, Tinklenberg menambahkan. Hal ini termasuk perlunya aplikasi yang rentan untuk mengaktifkan fungsi unggah file dan mengizinkan pengguna yang tidak diautentikasi untuk mengunggah file. Jika aplikasi yang rentan tidak mengizinkan unggahan pengguna yang tidak sah, penyerang perlu mendapatkan autentikasi dan otorisasi melalui cara lain. Penyerang juga perlu mengidentifikasi titik akhir menggunakan fungsi unggah file yang rentan, katanya.

Meskipun kerentanan di Apache Struts ini mungkin tidak mudah dieksploitasi dalam skala besar dibandingkan dengan kelemahan sebelumnya, kehadirannya dalam kerangka kerja yang diadopsi secara luas tentu saja menimbulkan kekhawatiran keamanan yang signifikan, kata Saeed Abbasi, manajer penelitian kerentanan dan ancaman di Qualys.

“Kerentanan khusus ini menonjol karena kompleksitasnya dan kondisi spesifik yang diperlukan untuk eksploitasi, sehingga membuat serangan yang meluas menjadi sulit namun mungkin terjadi,” ujarnya. “Mengingat integrasi ekstensif Apache Struts dalam berbagai sistem penting, potensi serangan yang ditargetkan tidak dapat dianggap remeh.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug