今すぐパッチを適用: 危険な Apache Struts 2 のバグに対するエクスプロイト アクティビティ マウント

今すぐパッチを適用: 危険な Apache Struts 2 のバグに対するエクスプロイト アクティビティ マウント

タイムスタンプ:15年2023月3日55:XNUMX
今すぐパッチを適用: 危険な Apache Struts 2 のバグ PlatoBlockchain Data Intelligence のエクスプロイト アクティビティ マウント。垂直検索。あい。

最近明らかになった、Apache Struts 2 のリモート コード実行 (RCE) の重大な脆弱性に対して懸念が高まっており、攻撃者はここ数日間、この脆弱性を積極的に悪用しています。

Apache Struts は、Java アプリケーションを構築するために広く使用されているオープン ソース フレームワークです。 開発者はこれを使用して、Model-View-Controller (MVC) アーキテクチャと呼ばれるモジュラー Web アプリケーションを構築できます。 Apache ソフトウェア財団 (ASF) バグを公開した 7月9.8日に、CVSSスケールで10点中XNUMX点という最大に近い重大度評価を与えた。 脆弱性は次のように追跡されます CVE-2023-50164 これは、Struts がファイル アップロードのパラメータを処理する方法に関係しており、影響を受けるシステムを完全に制御する方法を攻撃者に提供します。

Java アプリに影響を与える広く蔓延しているセキュリティ問題

この欠陥は、その蔓延性、リモートで実行可能であること、概念実証のエクスプロイト コードが公開されていることから、かなりの懸念を引き起こしています。 先週の欠陥の公開以来、複数のベンダー、および次のような団体が シャドウサーバー — この欠陥をターゲットとした悪用活動の兆候が見られると報告しています。

ASF 自体は、Apache Struts が 500 年以上存在しているという事実から、Apache Struts には「巨大なユーザー ベース」があると述べています。 セキュリティ専門家らは、Apache Struts をベースにしたアプリケーションが世界中に数千あると推定しています。これには、多くのフォーチュン XNUMX 企業や政府機関や重要インフラ部門の組織で使用されているアプリケーションも含まれます。  

多くのベンダー テクノロジーには Apache Struts 2 も組み込まれています。 たとえばシスコは、 現在調査中 バグの影響を受ける可能性のあるすべての製品を対象とし、必要に応じて追加情報やアップデートをリリースする予定です。 調査対象となっている製品には、シスコのネットワーク管理およびプロビジョニング テクノロジー、音声およびユニファイド コミュニケーション製品、顧客コラボレーション プラットフォームが含まれます。

この脆弱性は、Struts バージョン 2.5.0 ~ 2.5.32 および Struts バージョン 6.0.0 ~ 6.3.0 に影響します。 このバグは、現在サポートが終了している Struts バージョン 2.0.0 から Struts 2.3.37 にも存在します。

ASF、セキュリティ ベンダー、および 米国サイバーセキュリティおよび情報セキュリティ庁 (CISA) は、このソフトウェアを使用している組織に対し、Struts バージョン 2.5.33 または Struts 6.3.0.2 以降に直ちに更新することを推奨しています。 ASF によると、この脆弱性に対して利用可能な緩和策はありません。

近年、研究者は Struts の多数の欠陥を発見しました。 それらの中で最も重要だったのは言うまでもなく、 CVE-2017-5638 2017 年には、数千の組織に影響を及ぼし、Equifax での侵害が可能になり、143 億 XNUMX 万人もの米国の消費者に属する機密データが流出しました。 このバグは実際にはまだ浮遊しています - 発見されたばかりのを使用したキャンペーン NKAbuse ブロックチェーン マルウェア、 たとえば、初期アクセスに悪用されています。

Apache Struts 2 の危険なバグ、しかし悪用は困難

今週新たな Apache Struts の脆弱性を分析したトレンドマイクロの研究者 危険だがかなり難しいと説明した スキャンと悪用の問題に過ぎなかった 2017 年のバグよりも大規模に悪用される可能性がありました。  

「CVE-2023-50164 の脆弱性は、この脆弱性を悪用して悪意のある活動を実行するさまざまな攻撃者によって広く悪用され続けており、世界中の組織にとって重大なセキュリティ リスクになっています」とトレンドマイクロの研究者は述べています。

この欠陥は基本的に、攻撃者がファイルアップロードパラメータを操作してパストラバーサルを可能にするもので、「これにより悪意のあるファイルがアップロードされ、リモートでコードが実行される可能性がある」と彼らは指摘している。

この欠陥を悪用するには、攻撃者はまず脆弱な Apache Struts バージョンを使用している Web サイトまたは Web アプリケーションをスキャンして特定する必要があるとアカマイは記事で述べています。 脅威の分析をまとめたレポート 今週。 次に、特別に作成したリクエストを送信して、脆弱なサイトまたは Web アプリにファイルをアップロードする必要があります。 このリクエストには、脆弱なシステムが攻撃によってアクセスできる場所またはディレクトリにファイルを配置し、影響を受けるシステム上で悪意のあるコードの実行を引き起こす隠しコマンドが含まれています。

悪意のあるマルチパート ファイルのアップロードを可能にするために、Web アプリケーションには特定のアクションが実装されている必要があります」と、Akamai の上級セキュリティ研究者である Sam Tinklenberg 氏は述べています。 「これがデフォルトで有効になるかどうかは、Struts 2 の実装によって異なります。これまでに確認した限り、これはデフォルトで有効ではない可能性が高いです。」

CVE-2023-50164 の XNUMX つの PoC エクスプロイト亜種

Akamai によると、これまでのところ、公開された PoC を使用した CVE-2023-50164 をターゲットとした攻撃と、元の PoC の亜種と思われるものを使用した別の一連の攻撃活動が確認されています。

「この XNUMX つの攻撃の悪用メカニズムは同じです」とティンクレンバーグ氏は言います。 「ただし、異なる項目は、悪用の試みで使用されたエンドポイントとパラメータです。」

攻撃者が脆弱性を悪用するための要件は、実装によって大きく異なる可能性があるとティンクレンバーグ氏は付け加えた。 これには、脆弱なアプリでファイル アップロード機能を有効にし、認証されていないユーザーがファイルをアップロードできるようにする必要性が含まれます。 脆弱なアプリが不正なユーザーのアップロードを許可しない場合、攻撃者は他の手段で認証と認可を取得する必要があります。 同氏によると、攻撃者は脆弱なファイルのアップロード機能を使用してエンドポイントを特定する必要があるという。

Apache Struts のこの脆弱性は、以前の欠陥に比べて大規模な悪用が容易ではないかもしれませんが、このように広く採用されているフレームワークにこの脆弱性が存在することは、確かに重大なセキュリティ上の懸念を引き起こすと、Qualys の脆弱性および脅威研究マネージャーである Saeed Abbasi 氏は述べています。

「この特定の脆弱性は、その複雑さと悪用に必要な特定の条件により際立っており、広範な攻撃を困難にしながらも可能にしています」と彼は指摘します。 「Apache Struts がさまざまな重要なシステムに広範に統合されていることを考えると、標的型攻撃の可能性を過小評価することはできません。」

タイムスタンプ:

より多くの 暗い読書