תיקון עכשיו: נצל את נקודות הפעילות ל-Dangerous Apache Struts 2 Bug

החששות גדולים בגלל פגיעות קריטית של ביצוע קוד מרחוק (RCE) ב-Apache Struts 2 שנחשפו לאחרונה, שתוקפים ניצלו באופן פעיל במהלך הימים האחרונים.

Apache Struts היא מסגרת קוד פתוח בשימוש נרחב לבניית יישומי Java. מפתחים יכולים להשתמש בו כדי לבנות יישומי אינטרנט מודולריים המבוססים על מה שמכונה ארכיטקטורת Model-View-Controller (MVC). קרן תוכנת אפאצ'י (ASF) חשף את הבאג ב-7 בדצמבר ונתן לו דירוג חומרה כמעט מקסימלי של 9.8 מתוך 10 בסולם CVSS. הפגיעות, במעקב כמו CVE-2023-50164 קשור לאופן שבו Struts מטפל בפרמטרים בהעלאות קבצים ונותן לתוקפים דרך להשיג שליטה מלאה במערכות המושפעות.

בעיית אבטחה רווחת המשפיעה על יישומי Java

הפגם עורר דאגה רבה בגלל שכיחותו, העובדה שהוא ניתן להפעלה מרחוק, ומכיוון שקוד ניצול הוכחת מושג זמין עבורו לציבור. מאז חשיפת הפגם בשבוע שעבר, מספר ספקים - וגופים כגון ShadowServer - דיווחו שראו סימנים לפעילות ניצול המכוונת לפגם.

ה-ASF עצמו תיאר את Apache Struts כבעל "בסיס משתמשים עצום", בגלל העובדה שהוא קיים כבר יותר משני עשורים. מומחי אבטחה מעריכים שיש אלפי יישומים ברחבי העולם - כולל אלה שנמצאים בשימוש בחברות וארגונים רבים של Fortune 500 במגזרי ממשלה ותשתיות קריטיות - המבוססים על Apache Struts.  

טכנולוגיות רבות של ספקים משלבות גם את Apache Struts 2. סיסקו, למשל, היא כרגע חוקר כל המוצרים שכנראה מושפעים מהבאג ומתכננים לשחרר מידע ועדכונים נוספים בעת הצורך. מוצרים שנמצאים בבדיקה כוללים את טכנולוגיות ניהול ואספקת הרשת של סיסקו, מוצרי קול ותקשורת מאוחדת ופלטפורמת שיתוף הפעולה עם הלקוחות שלה.

הפגיעות משפיעה על גרסאות Struts 2.5.0 עד 2.5.32 ו-Struts גרסאות 6.0.0 עד 6.3.0. הבאג קיים גם ב-Struts גרסאות 2.0.0 עד Struts 2.3.37, שהן כעת סוף-חיים.

ה-ASF, ספקי אבטחה וגופים כגון הסוכנות האמריקאית לאבטחת סייבר ואבטחת מידע (CISA) המליצו לארגונים המשתמשים בתוכנה לעדכן מיידית ל-Struts גרסה 2.5.33 או Struts 6.3.0.2 ומעלה. לפי ה-ASF, אין אמצעי הגנה זמינים עבור הפגיעות.

בשנים האחרונות, חוקרים חשפו פגמים רבים ב-Struts. בקלות המשמעותי שבהם היה CVE-2017-5638 בשנת 2017, מה שהשפיע על אלפי ארגונים ואיפשר פרצה ב-Equifax שחשפה נתונים רגישים השייכים ל-143 מיליון צרכנים אמריקאים מדהימים. הבאג הזה למעשה עדיין מרחף מסביב - קמפיינים המשתמשים במה שזה עתה התגלה NKAbuse תוכנות זדוניות בלוקצ'יין, למשל, מנצלים אותו לגישה ראשונית.

באג מסוכן של אפאצ'י Struts 2, אבל קשה לנצל אותו

חוקרים ב-Trend Micro שניתחו השבוע את הפגיעות החדשה של Apache Struts תיאר את זה כמסוכן אבל הרבה יותר קשה לנצל בקנה מידה יותר מאשר הבאג של 2017, שהיה מעט יותר מבעיית סריקה וניצול.  

"הפגיעות CVE-2023-50164 ממשיכה להיות מנוצלת באופן נרחב על ידי מגוון רחב של גורמי איומים המנצלים את הפגיעות הזו כדי לבצע פעילויות זדוניות, מה שהופך אותה לסיכון אבטחה משמעותי לארגונים ברחבי העולם", אמרו חוקרי Trend Micro.

הפגם בעצם מאפשר ליריב לתפעל פרמטרים של העלאת קבצים כדי לאפשר מעבר נתיב: "זה עלול לגרום להעלאה של קובץ זדוני, המאפשר ביצוע קוד מרחוק", הם ציינו.

כדי לנצל את הפגם, תוקף יצטרך תחילה לסרוק ולזהות אתרים או יישומי אינטרנט באמצעות גרסת Apache Struts פגיעה, אמר Akamai ב דו"ח המסכם את ניתוח האיום שלו השבוע. לאחר מכן, הם יצטרכו לשלוח בקשה בעלת מבנה מיוחד להעלות קובץ לאתר הפגיע או לאפליקציית האינטרנט. הבקשה תכיל פקודות נסתרות שיגרמו למערכת הפגיעה למקם את הקובץ במיקום או ספרייה שממנו יכולה ההתקפה לגשת אליו ולהפעיל ביצוע של קוד זדוני במערכת המושפעת.

"על אפליקציית האינטרנט להיות מיושמות פעולות מסוימות כדי לאפשר העלאת קבצים מרובי חלקים זדוניים", אומר סם טינקנברג, חוקר אבטחה בכיר ב- Akamai. "האם זה מופעל כברירת מחדל תלוי ביישום של Struts 2. בהתבסס על מה שראינו, סביר יותר שזה לא משהו שהופעל כברירת מחדל."

שתי גרסאות PoC Exploit עבור CVE-2023-50164

Akamai אמר כי עד כה ראתה התקפות מכוונות ל-CVE-2023-50164 באמצעות ה-PoC שפורסם בפומבי, ועוד מערך פעילות תקיפה באמצעות מה שנראה כגרסה של ה-PoC המקורי.

"מנגנון הניצול זהה בין השניים" מערכי התקפות, אומר טינקנברג. "עם זאת, הפריטים השונים הם נקודת הקצה והפרמטר המשמשים בניסיון הניצול."

הדרישות לתוקף לניצול מוצלח של הפגיעות יכולות להשתנות באופן משמעותי לפי יישום, מוסיף טינקנברג. אלה כוללים את הצורך באפליקציה פגיעה שתפעיל את פונקציית העלאת הקבצים ושתאפשר למשתמש לא מאומת להעלות קבצים. אם אפליקציה פגיעה אינה מאפשרת העלאות משתמשים לא מורשים, התוקף יצטרך לקבל אימות והרשאה באמצעים אחרים. התוקף יצטרך גם לזהות את נקודת הקצה באמצעות פונקציית העלאת הקבצים הפגיעים, הוא אומר.

בעוד שפגיעות זו ב- Apache Struts עשויה שלא להיות ניתנת לניצול באותה מידה בקנה מידה גדול בהשוואה לפגמים קודמים, הנוכחות שלה במסגרת מאומצת כל כך מעוררת דאגות אבטחה משמעותיות, אומר סעיד עבאסי, מנהל חקר פגיעות ואיומים בחברת Qualys.

"הפגיעות המסוימת הזו בולטת בשל המורכבות שלה והתנאים הספציפיים הנדרשים לניצול, מה שהופך התקפות נרחבות לקשות אך אפשריות", הוא מציין. "בהתחשב באינטגרציה הנרחבת של Apache Struts במערכות קריטיות שונות, לא ניתן לזלזל בפוטנציאל להתקפות ממוקדות."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug