지금 패치: 위험한 Apache Struts 2 버그를 위한 활동 마운트 악용

플라톤에 의해 재발행

팔로워 : 0

지금 패치: 위험한 Apache Struts 2 버그 PlatoBlockchain 데이터 인텔리전스에 대한 활동 탑재를 악용합니다. 수직 검색. 일체 포함.

최근 공개된 Apache Struts 2의 원격 코드 실행(RCE) 취약점에 대한 우려가 높습니다. 이 취약점은 공격자들이 지난 며칠 동안 적극적으로 악용해 왔습니다.

Apache Struts는 Java 애플리케이션 구축을 위해 널리 사용되는 오픈 소스 프레임워크입니다. 개발자는 이를 사용하여 MVC(모델-뷰-컨트롤러) 아키텍처를 기반으로 하는 모듈식 웹 애플리케이션을 구축할 수 있습니다. 아파치 소프트웨어 재단(ASF) 버그를 공개했다 7월 9.8일에 CVSS 척도에서 10점 만점에 XNUMX점에 가까운 최대 심각도 등급을 부여했습니다. 다음과 같이 추적되는 취약점 CVE-2023-50164 Struts가 파일 업로드에서 매개변수를 처리하는 방법과 관련이 있으며 공격자가 영향을 받는 시스템을 완전히 제어할 수 있는 방법을 제공합니다.

Java 앱에 영향을 미치는 널리 퍼진 보안 문제

이 결함은 널리 퍼져 있고, 원격으로 실행 가능하며, 개념 증명 공격 코드가 공개되어 있기 때문에 상당한 우려를 불러일으켰습니다. 지난 주 결함이 공개된 이후 여러 공급업체와 다음과 같은 기업이 섀도우서버 — 결함을 표적으로 삼은 익스플로잇 활동의 징후가 발견되었다고 보고했습니다.

ASF 자체는 Apache Struts가 500년 이상 사용되었기 때문에 "거대한 사용자 기반"을 보유하고 있다고 설명했습니다. 보안 전문가들은 Fortune XNUMX대 기업과 정부 및 중요 인프라 부문의 조직에서 사용되는 애플리케이션을 포함하여 전 세계적으로 Apache Struts를 기반으로 하는 수천 개의 애플리케이션이 있다고 추정합니다.

많은 공급업체 기술에는 Apache Struts 2도 통합되어 있습니다. 예를 들어 시스코는 현재 조사 중이다. 버그의 영향을 받을 가능성이 있는 모든 제품은 필요 시 추가 정보와 업데이트를 공개할 계획입니다. 조사 대상 제품에는 Cisco의 네트워크 관리 및 프로비저닝 기술, 음성 및 통합 커뮤니케이션 제품, 고객 협업 플랫폼이 포함됩니다.

이 취약점은 Struts 버전 2.5.0~2.5.32 및 Struts 버전 6.0.0~6.3.0에 영향을 미칩니다. 이 버그는 현재 수명이 종료된 Struts 버전 2.0.0부터 Struts 2.3.37까지 존재합니다.

ASF, 보안 공급업체 및 다음과 같은 단체 미국 사이버보안 및 정보보안국 (CISA)는 소프트웨어를 사용하는 조직이 즉시 Struts 버전 2.5.33 또는 Struts 6.3.0.2 이상으로 업데이트할 것을 권장했습니다. ASF에 따르면 이 취약점에 대한 완화 방법은 없습니다.

최근 몇 년 동안 연구원들은 Struts에서 수많은 결함을 발견했습니다. 그 중 가장 중요한 것은 쉽게 말하면 다음과 같습니다. CVE-2017-5638 2017년에는 수천 개의 조직에 영향을 미쳤고 Equifax에서 보안 침해가 발생하여 무려 143억 XNUMX만 명의 미국 소비자의 민감한 데이터가 노출되었습니다. 그 버그는 실제로 아직도 떠돌고 있습니다. 방금 발견된 버그를 사용한 캠페인입니다. NKAbuse 블록체인 악성코드, 예를 들어 초기 액세스를 위해 이를 악용하고 있습니다.

위험한 Apache Struts 2 버그, 그러나 악용하기 어려움

이번 주에 새로운 Apache Struts 취약점을 분석한 Trend Micro 연구원 위험하지만 훨씬 더 어렵다고 설명했습니다. 2017년 버그보다 대규모로 악용할 수 있었는데, 이는 스캔 및 악용 문제에 지나지 않았습니다.

트렌드마이크로 연구진은 “CVE-2023-50164 취약점은 이 취약점을 악용해 악의적인 활동을 수행하는 광범위한 위협 행위자들에 의해 계속해서 널리 악용되고 있어 전 세계 조직에 심각한 보안 위험이 되고 있습니다”라고 밝혔습니다.

이 결함은 기본적으로 공격자가 경로 탐색을 활성화하기 위해 파일 업로드 매개 변수를 조작할 수 있도록 허용합니다. “이로 인해 잠재적으로 악성 파일이 업로드되어 원격 코드 실행이 가능해질 수 있습니다.”라고 그들은 지적했습니다.

이 결함을 악용하려면 공격자는 먼저 취약한 Apache Struts 버전을 사용하는 웹사이트나 웹 애플리케이션을 스캔하고 식별해야 한다고 Akamai는 밝혔습니다. 위협 분석을 요약한 보고서 이번 주. 그런 다음 취약한 사이트나 웹 앱에 파일을 업로드하려면 특별히 제작된 요청을 보내야 합니다. 요청에는 취약한 시스템이 공격이 파일에 액세스할 수 있는 위치나 디렉터리에 파일을 배치하고 영향을 받는 시스템에서 악성 코드가 실행되도록 하는 숨겨진 명령이 포함됩니다.

"웹 애플리케이션에는 악의적인 멀티파트 파일 업로드를 가능하게 하는 특정 작업이 구현되어 있어야 합니다.”라고 Akamai의 수석 보안 연구원인 Sam Tinklenberg는 말합니다. "이 기능이 기본적으로 활성화되어 있는지 여부는 Struts 2의 구현에 따라 다릅니다. 우리가 본 내용에 따르면 이것이 기본적으로 활성화되어 있지 않을 가능성이 높습니다."

CVE-2023-50164에 대한 두 가지 PoC 악용 변종

Akamai는 지금까지 공개적으로 공개된 PoC를 사용하여 CVE-2023-50164를 표적으로 삼은 공격과 원본 PoC의 변형으로 보이는 공격 활동을 목격했다고 밝혔습니다.

Tinklenberg는 “두 공격 세트의 익스플로잇 메커니즘은 동일합니다.”라고 말했습니다. 다만, 차이점은 익스플로잇 시도에 사용된 엔드포인트와 매개변수다”라고 말했다.

공격자가 취약점을 성공적으로 악용하기 위한 요구 사항은 구현에 따라 크게 달라질 수 있다고 Tinklenberg는 덧붙였습니다. 여기에는 취약한 앱이 파일 업로드 기능을 활성화하고 인증되지 않은 사용자가 파일을 업로드하도록 허용해야 하는 필요성이 포함됩니다. 취약한 앱이 무단 사용자 업로드를 허용하지 않는 경우 공격자는 다른 수단을 통해 인증 및 승인을 얻어야 합니다. 공격자는 또한 취약한 파일 업로드 기능을 사용하여 엔드포인트를 식별해야 한다고 그는 말했습니다.

Apache Struts의 이 취약점은 이전 결함에 비해 대규모로 쉽게 악용될 수는 없지만 널리 채택된 프레임워크에 이 취약점이 존재한다는 것은 확실히 심각한 보안 문제를 야기한다고 Qualys의 취약점 및 위협 연구 관리자인 Saeed Abbasi는 말합니다.

“이 특정 취약점은 복잡성과 악용에 필요한 특정 조건으로 인해 두드러지며 광범위한 공격은 어렵지만 가능합니다.”라고 그는 지적합니다. "Apache Struts가 다양한 중요 시스템에 광범위하게 통합되어 있다는 점을 고려하면 표적 공격의 가능성을 과소평가할 수 없습니다."