Patch ora: sfrutta i supporti di attività per il pericoloso bug di Apache Struts 2

Le preoccupazioni sono elevate per una vulnerabilità critica recentemente rivelata relativa all'esecuzione di codice remoto (RCE) in Apache Struts 2, che gli aggressori hanno sfruttato attivamente negli ultimi giorni.

Apache Struts è un framework open source ampiamente utilizzato per la creazione di applicazioni Java. Gli sviluppatori possono utilizzarlo per creare applicazioni Web modulari basate su quella che è nota come architettura Model-View-Controller (MVC). La Apache Software Foundation (ASF) rivelato il bug il 7 dicembre e gli ha assegnato un punteggio di gravità quasi massimo di 9.8 su 10 sulla scala CVSS. La vulnerabilità, tracciata come CVE-2023-50164 ha a che fare con il modo in cui Struts gestisce i parametri nei caricamenti di file e offre agli aggressori un modo per ottenere il controllo completo dei sistemi interessati.

Un problema di sicurezza ampiamente diffuso che colpisce le app Java

La falla ha suscitato notevole preoccupazione a causa della sua prevalenza, del fatto che è eseguibile da remoto e perché il relativo codice di exploit proof-of-concept è pubblicamente disponibile. Dalla divulgazione del difetto la scorsa settimana, diversi fornitori ed entità come ShadowServer - hanno riferito di aver notato segni di attività di exploit mirate alla falla.

La stessa ASF ha descritto Apache Struts come dotato di una “enorme base di utenti”, poiché esiste da più di due decenni. Gli esperti di sicurezza stimano che esistano migliaia di applicazioni in tutto il mondo, comprese quelle in uso in molte aziende e organizzazioni Fortune 500 nel settore governativo e delle infrastrutture critiche, basate su Apache Struts.  

Molte tecnologie dei fornitori incorporano anche Apache Struts 2. Cisco, ad esempio, lo è attualmente indagando tutti i prodotti che potrebbero essere interessati dal bug e prevede di rilasciare ulteriori informazioni e aggiornamenti quando necessario. I prodotti sotto esame includono le tecnologie di provisioning e gestione della rete di Cisco, i prodotti voce e di comunicazione unificata e la sua piattaforma di collaborazione con i clienti.

La vulnerabilità colpisce le versioni Struts dalla 2.5.0 alla 2.5.32 e le versioni Struts dalla 6.0.0 alla 6.3.0. Il bug è presente anche nelle versioni da Struts dalla 2.0.0 alla 2.3.37, che sono ormai al termine del loro ciclo di vita.

L'ASF, i fornitori di sicurezza ed entità come Agenzia statunitense per la sicurezza informatica e la sicurezza informatica (CISA) hanno raccomandato alle organizzazioni che utilizzano il software di aggiornarsi immediatamente alla versione Struts 2.5.33 o Struts 6.3.0.2 o successiva. Secondo l'ASF, non sono disponibili soluzioni attenuanti per la vulnerabilità.

Negli ultimi anni, i ricercatori hanno portato alla luce numerosi difetti in Struts. Sicuramente il più significativo era CVE-2017-5638 nel 2017, che ha colpito migliaia di organizzazioni e ha consentito una violazione di Equifax che ha esposto dati sensibili appartenenti all’incredibile cifra di 143 milioni di consumatori statunitensi. Quel bug in realtà è ancora in giro: campagne che utilizzano ciò che è appena stato scoperto Malware blockchain NKAbuse, ad esempio, lo stanno sfruttando per l'accesso iniziale.

Un pericoloso bug di Apache Struts 2, ma difficile da sfruttare

I ricercatori di Trend Micro che questa settimana hanno analizzato la nuova vulnerabilità Apache Struts lo descrisse come pericoloso ma considerevolmente più difficile da sfruttare su larga scala rispetto al bug del 2017, che era poco più di un problema di scansione e sfruttamento.  

"La vulnerabilità CVE-2023-50164 continua a essere ampiamente sfruttata da un'ampia gamma di autori di minacce che abusano di questa vulnerabilità per eseguire attività dannose, rendendola un rischio significativo per la sicurezza delle organizzazioni di tutto il mondo", hanno affermato i ricercatori di Trend Micro.

La falla consente fondamentalmente a un avversario di manipolare i parametri di caricamento dei file per consentire l'attraversamento del percorso: "Ciò potrebbe potenzialmente comportare il caricamento di un file dannoso, consentendo l'esecuzione di codice in modalità remota", hanno osservato.

Per sfruttare la falla, un utente malintenzionato dovrebbe prima cercare e identificare siti o applicazioni Web utilizzando una versione vulnerabile di Apache Struts, ha affermato Akamai in un relazione che riassume la sua analisi della minaccia questa settimana. Dovrebbero quindi inviare una richiesta appositamente predisposta per caricare un file sul sito o sull'app Web vulnerabile. La richiesta conterrebbe comandi nascosti che farebbero sì che il sistema vulnerabile inserisca il file in una posizione o directory da cui l'attacco potrebbe accedervi e innescare l'esecuzione di codice dannoso sul sistema interessato.

"Nell'applicazione Web devono essere implementate determinate azioni per consentire il caricamento di file dannosi in più parti", afferma Sam Tinklenberg, ricercatore senior sulla sicurezza presso Akamai. "Se questa funzionalità è abilitata per impostazione predefinita dipende dall'implementazione di Struts 2. In base a ciò che abbiamo visto, è più probabile che non si tratti di qualcosa che sia abilitato per impostazione predefinita."

Due varianti di exploit PoC per CVE-2023-50164

Akamai ha affermato di aver riscontrato finora attacchi contro CVE-2023-50164 utilizzando il PoC rilasciato pubblicamente e un'altra serie di attività di attacco utilizzando quella che sembra essere una variante del PoC originale.

“Il meccanismo di exploit è lo stesso per i due” tipi di attacchi, afferma Tinkenberg. "Tuttavia, gli elementi che differiscono sono l'endpoint e il parametro utilizzato nel tentativo di sfruttamento."

I requisiti affinché un utente malintenzionato possa sfruttare con successo la vulnerabilità possono variare in modo significativo in base all'implementazione, aggiunge Tinklenberg. Questi includono la necessità che un'app vulnerabile abbia la funzione di caricamento file abilitata e che consenta a un utente non autenticato di caricare file. Se un'app vulnerabile non consente caricamenti da parte di utenti non autorizzati, l'autore dell'attacco dovrebbe ottenere l'autenticazione e l'autorizzazione tramite altri mezzi. L’aggressore dovrebbe anche identificare l’endpoint utilizzando la funzione di caricamento dei file vulnerabili, afferma.

Anche se questa vulnerabilità in Apache Struts potrebbe non essere così facilmente sfruttabile su larga scala rispetto alle falle precedenti, la sua presenza in un framework così ampiamente adottato solleva sicuramente notevoli preoccupazioni in termini di sicurezza, afferma Saeed Abbasi, responsabile della ricerca sulle vulnerabilità e sulle minacce presso Qualys.

"Questa particolare vulnerabilità si distingue per la sua complessità e le condizioni specifiche richieste per lo sfruttamento, rendendo difficili ma possibili attacchi diffusi", osserva. "Data l'ampia integrazione di Apache Struts in vari sistemi critici, il potenziale di attacchi mirati non può essere sottovalutato."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug