החששות גדולים בגלל פגיעות קריטית של ביצוע קוד מרחוק (RCE) ב-Apache Struts 2 שנחשפו לאחרונה, שתוקפים ניצלו באופן פעיל במהלך הימים האחרונים.
Apache Struts היא מסגרת קוד פתוח בשימוש נרחב לבניית יישומי Java. מפתחים יכולים להשתמש בו כדי לבנות יישומי אינטרנט מודולריים המבוססים על מה שמכונה ארכיטקטורת Model-View-Controller (MVC). קרן תוכנת אפאצ'י (ASF) חשף את הבאג ב-7 בדצמבר ונתן לו דירוג חומרה כמעט מקסימלי של 9.8 מתוך 10 בסולם CVSS. הפגיעות, במעקב כמו CVE-2023-50164 קשור לאופן שבו Struts מטפל בפרמטרים בהעלאות קבצים ונותן לתוקפים דרך להשיג שליטה מלאה במערכות המושפעות.
בעיית אבטחה רווחת המשפיעה על יישומי Java
הפגם עורר דאגה רבה בגלל שכיחותו, העובדה שהוא ניתן להפעלה מרחוק, ומכיוון שקוד ניצול הוכחת מושג זמין עבורו לציבור. מאז חשיפת הפגם בשבוע שעבר, מספר ספקים - וגופים כגון ShadowServer - דיווחו שראו סימנים לפעילות ניצול המכוונת לפגם.
ה-ASF עצמו תיאר את Apache Struts כבעל "בסיס משתמשים עצום", בגלל העובדה שהוא קיים כבר יותר משני עשורים. מומחי אבטחה מעריכים שיש אלפי יישומים ברחבי העולם - כולל אלה שנמצאים בשימוש בחברות וארגונים רבים של Fortune 500 במגזרי ממשלה ותשתיות קריטיות - המבוססים על Apache Struts.
טכנולוגיות רבות של ספקים משלבות גם את Apache Struts 2. סיסקו, למשל, היא כרגע חוקר כל המוצרים שכנראה מושפעים מהבאג ומתכננים לשחרר מידע ועדכונים נוספים בעת הצורך. מוצרים שנמצאים בבדיקה כוללים את טכנולוגיות ניהול ואספקת הרשת של סיסקו, מוצרי קול ותקשורת מאוחדת ופלטפורמת שיתוף הפעולה עם הלקוחות שלה.
הפגיעות משפיעה על גרסאות Struts 2.5.0 עד 2.5.32 ו-Struts גרסאות 6.0.0 עד 6.3.0. הבאג קיים גם ב-Struts גרסאות 2.0.0 עד Struts 2.3.37, שהן כעת סוף-חיים.
ה-ASF, ספקי אבטחה וגופים כגון הסוכנות האמריקאית לאבטחת סייבר ואבטחת מידע (CISA) המליצו לארגונים המשתמשים בתוכנה לעדכן מיידית ל-Struts גרסה 2.5.33 או Struts 6.3.0.2 ומעלה. לפי ה-ASF, אין אמצעי הגנה זמינים עבור הפגיעות.
בשנים האחרונות, חוקרים חשפו פגמים רבים ב-Struts. בקלות המשמעותי שבהם היה CVE-2017-5638 בשנת 2017, מה שהשפיע על אלפי ארגונים ואיפשר פרצה ב-Equifax שחשפה נתונים רגישים השייכים ל-143 מיליון צרכנים אמריקאים מדהימים. הבאג הזה למעשה עדיין מרחף מסביב - קמפיינים המשתמשים במה שזה עתה התגלה NKAbuse תוכנות זדוניות בלוקצ'יין, למשל, מנצלים אותו לגישה ראשונית.
באג מסוכן של אפאצ'י Struts 2, אבל קשה לנצל אותו
חוקרים ב-Trend Micro שניתחו השבוע את הפגיעות החדשה של Apache Struts תיאר את זה כמסוכן אבל הרבה יותר קשה לנצל בקנה מידה יותר מאשר הבאג של 2017, שהיה מעט יותר מבעיית סריקה וניצול.
"הפגיעות CVE-2023-50164 ממשיכה להיות מנוצלת באופן נרחב על ידי מגוון רחב של גורמי איומים המנצלים את הפגיעות הזו כדי לבצע פעילויות זדוניות, מה שהופך אותה לסיכון אבטחה משמעותי לארגונים ברחבי העולם", אמרו חוקרי Trend Micro.
הפגם בעצם מאפשר ליריב לתפעל פרמטרים של העלאת קבצים כדי לאפשר מעבר נתיב: "זה עלול לגרום להעלאה של קובץ זדוני, המאפשר ביצוע קוד מרחוק", הם ציינו.
כדי לנצל את הפגם, תוקף יצטרך תחילה לסרוק ולזהות אתרים או יישומי אינטרנט באמצעות גרסת Apache Struts פגיעה, אמר Akamai ב דו"ח המסכם את ניתוח האיום שלו השבוע. לאחר מכן, הם יצטרכו לשלוח בקשה בעלת מבנה מיוחד להעלות קובץ לאתר הפגיע או לאפליקציית האינטרנט. הבקשה תכיל פקודות נסתרות שיגרמו למערכת הפגיעה למקם את הקובץ במיקום או ספרייה שממנו יכולה ההתקפה לגשת אליו ולהפעיל ביצוע של קוד זדוני במערכת המושפעת.
"על אפליקציית האינטרנט להיות מיושמות פעולות מסוימות כדי לאפשר העלאת קבצים מרובי חלקים זדוניים", אומר סם טינקנברג, חוקר אבטחה בכיר ב- Akamai. "האם זה מופעל כברירת מחדל תלוי ביישום של Struts 2. בהתבסס על מה שראינו, סביר יותר שזה לא משהו שהופעל כברירת מחדל."
שתי גרסאות PoC Exploit עבור CVE-2023-50164
Akamai אמר כי עד כה ראתה התקפות מכוונות ל-CVE-2023-50164 באמצעות ה-PoC שפורסם בפומבי, ועוד מערך פעילות תקיפה באמצעות מה שנראה כגרסה של ה-PoC המקורי.
"מנגנון הניצול זהה בין השניים" מערכי התקפות, אומר טינקנברג. "עם זאת, הפריטים השונים הם נקודת הקצה והפרמטר המשמשים בניסיון הניצול."
הדרישות לתוקף לניצול מוצלח של הפגיעות יכולות להשתנות באופן משמעותי לפי יישום, מוסיף טינקנברג. אלה כוללים את הצורך באפליקציה פגיעה שתפעיל את פונקציית העלאת הקבצים ושתאפשר למשתמש לא מאומת להעלות קבצים. אם אפליקציה פגיעה אינה מאפשרת העלאות משתמשים לא מורשים, התוקף יצטרך לקבל אימות והרשאה באמצעים אחרים. התוקף יצטרך גם לזהות את נקודת הקצה באמצעות פונקציית העלאת הקבצים הפגיעים, הוא אומר.
בעוד שפגיעות זו ב- Apache Struts עשויה שלא להיות ניתנת לניצול באותה מידה בקנה מידה גדול בהשוואה לפגמים קודמים, הנוכחות שלה במסגרת מאומצת כל כך מעוררת דאגות אבטחה משמעותיות, אומר סעיד עבאסי, מנהל חקר פגיעות ואיומים בחברת Qualys.
"הפגיעות המסוימת הזו בולטת בשל המורכבות שלה והתנאים הספציפיים הנדרשים לניצול, מה שהופך התקפות נרחבות לקשות אך אפשריות", הוא מציין. "בהתחשב באינטגרציה הנרחבת של Apache Struts במערכות קריטיות שונות, לא ניתן לזלזל בפוטנציאל להתקפות ממוקדות."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- :יש ל
- :הוא
- :לֹא
- :איפה
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- התעללות
- גישה
- פי
- פעולות
- באופן פעיל
- פעילויות
- פעילות
- שחקנים
- למעשה
- נוסף
- מידע נוסף
- מוסיף
- מאומץ
- מושפע
- משפיע
- תעשיות
- להתיר
- מאפשר
- גם
- an
- אנליזה
- מְנוּתָח
- ו
- אחר
- אַפָּשׁ
- האפליקציה
- מופיע
- בקשה
- יישומים
- ארכיטקטורה
- ARE
- סביב
- AS
- ASF
- At
- לתקוף
- המתקפות
- ניסיון
- אימות
- אישור
- זמין
- בסיס
- מבוסס
- בעיקרון
- BE
- כי
- היה
- שייכות
- בֵּין
- blockchain
- הפרה
- חרק
- לִבנוֹת
- בִּניָן
- אבל
- by
- קמפיינים
- CAN
- לא יכול
- לגרום
- מסוים
- בהחלט
- סיסקו
- קוד
- שיתוף פעולה
- תקשורת
- חברות
- לעומת
- להשלים
- מורכבות
- דְאָגָה
- דאגות
- תנאים
- רב
- צרכנים
- להכיל
- ממשיך
- לִשְׁלוֹט
- יכול
- מעוצב
- קריטי
- תשתית קריטית
- לקוח
- אבטחת סייבר
- מסוכן
- נתונים
- ימים
- דצמבר
- עשרות שנים
- בְּרִירַת מֶחדָל
- תלוי
- מְתוּאָר
- מפתחים
- נבדלים
- קשה
- חשיפה
- do
- עושה
- ראוי
- בקלות
- לאפשר
- מופעל
- מה שמאפשר
- נקודת קצה
- ישויות
- Equifax
- לְהַעֲרִיך
- הוצאת להורג
- מומחים
- לנצל
- ניצול
- ומנוצל
- מנצל
- חשוף
- נרחב
- עובדה
- רחוק
- מעטים
- שלח
- קבצים
- ראשון
- פגם
- פגמים
- צף
- בעד
- הון עתק
- קרן
- מסגרת
- החל מ-
- פונקציה
- לְהַשִׂיג
- נתן
- נתן
- נותן
- ממשלה
- יותר
- מטפל
- קשה
- יש
- יש
- he
- מוּסתָר
- גָבוֹהַ
- איך
- אולם
- HTML
- HTTPS
- עצום
- לזהות
- if
- מיד
- הפעלה
- יושם
- in
- לכלול
- כולל
- בע"מ
- מידע
- אבטחת מידע
- תשתית
- בתחילה
- למשל
- השתלבות
- סוגיה
- IT
- פריטים
- שֶׁלָה
- עצמו
- Java
- jpg
- ידוע
- גָדוֹל
- אחרון
- סביר
- קְצָת
- מיקום
- עשייה
- תוכנות זדוניות
- ניהול
- מנהל
- רב
- מקסימום
- אומר
- מנגנון
- מיקרו
- יכול
- מִילִיוֹן
- מודולרי
- יותר
- רוב
- מספר
- צריך
- ליד
- צורך
- נחוץ
- רשת
- חדש
- ניסט
- לא
- ציין
- הערות
- עַכשָׁיו
- רב
- of
- on
- לפתוח
- קוד פתוח
- or
- ארגונים
- מְקוֹרִי
- אחר
- הַחוּצָה
- יותר
- פרמטר
- פרמטרים
- מסוים
- עבר
- תיקון
- נתיב
- לְבַצֵעַ
- מקום
- תוכניות
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- PoC
- אפשרי
- פוטנציאל
- פוטנציאל
- נוכחות
- להציג
- נפוץ
- קודם
- מוצרים
- בפומבי
- מעלה
- רכס
- דירוג
- לְלֹא קוֹשִׁי
- לאחרונה
- לאחרונה
- מוּמלָץ
- לשחרר
- שוחרר
- מרחוק
- מרחוק
- דווח
- לבקש
- נדרש
- דרישות
- מחקר
- חוקר
- חוקרים
- תוצאה
- הסיכון
- s
- אמר
- סם
- אותו
- אומר
- סולם
- סריקה
- בדיקה
- מגזרים
- אבטחה
- ראות
- לראות
- לשלוח
- לחצני מצוקה לפנסיונרים
- רגיש
- סט
- סטים
- משמעותי
- באופן משמעותי
- שלטים
- since
- אתר
- So
- עד כה
- תוכנה
- משהו
- מָקוֹר
- במיוחד
- ספציפי
- מַדְהִים
- עומד
- עוד
- בהצלחה
- כזה
- מערכת
- מערכות
- ממוקד
- מיקוד
- טכנולוגיות
- מֵאֲשֶׁר
- זֶה
- השמיים
- אותם
- אז
- שם.
- אלה
- הֵם
- זֶה
- השבוע
- אלה
- אלפים
- איום
- איום שחקנים
- ל
- מְגַמָה
- להפעיל
- שתיים
- לא מורשה
- תחת
- מאוחד
- עדכון
- עדכונים
- העלאה
- us
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- באמצעות
- גִרְסָה אַחֶרֶת
- שונים
- מוכר
- ספקים
- גרסה
- גירסאות
- באמצעות
- קול
- פגיעות
- פגיע
- היה
- דֶרֶך..
- we
- אינטרנט
- אפליקציית רשת
- יישומי אינטרנט
- אתרים
- שבוע
- טוֹב
- מה
- מה
- מתי
- אם
- אשר
- מי
- רָחָב
- טווח רחב
- באופן נרחב
- נָפוֹץ
- עם
- עולמי
- היה
- שנים
- זפירנט