Nu patchen: exploiteer activiteitsmounts voor gevaarlijke Apache Struts 2-bug

Er zijn grote zorgen over een kritieke, onlangs onthulde kwetsbaarheid voor het uitvoeren van externe code (RCE) in Apache Struts 2, waar aanvallers de afgelopen dagen actief misbruik van hebben gemaakt.

Apache Struts is een veelgebruikt open source-framework voor het bouwen van Java-applicaties. Ontwikkelaars kunnen het gebruiken om modulaire webapplicaties te bouwen op basis van de zogenaamde Model-View-Controller (MVC)-architectuur. De Apache Software Foundation (ASF) heeft de bug bekendgemaakt op 7 december en gaf het een bijna maximale ernstbeoordeling van 9.8 op 10 op de CVSS-schaal. De kwetsbaarheid, bijgehouden als CVE-2023-50164 heeft te maken met de manier waarop Struts omgaat met parameters in bestandsuploads en geeft aanvallers een manier om volledige controle te krijgen over getroffen systemen.

Een wijdverbreid beveiligingsprobleem dat Java-apps treft

De fout heeft tot grote bezorgdheid geleid vanwege de wijdverbreidheid ervan, het feit dat de fout op afstand kan worden uitgevoerd en omdat proof-of-concept exploitcode er publiekelijk voor beschikbaar is. Sinds de bekendmaking van de fout vorige week hebben meerdere leveranciers – en entiteiten zoals SchaduwServer – hebben gemeld dat ze tekenen hebben gezien van exploitactiviteiten gericht op de fout.

De ASF zelf heeft Apache Struts omschreven als een ‘enorme gebruikersbasis’, vanwege het feit dat het al meer dan twintig jaar bestaat. Beveiligingsexperts schatten dat er wereldwijd duizenden applicaties zijn – inclusief de applicaties die worden gebruikt bij veel Fortune 500-bedrijven en organisaties in de overheid en kritieke infrastructuursectoren – die zijn gebaseerd op Apache Struts.  

Veel leverancierstechnologieën bevatten ook Apache Struts 2. Cisco is dat bijvoorbeeld wel momenteel aan het onderzoeken alle producten die waarschijnlijk door de bug zijn getroffen en is van plan om indien nodig aanvullende informatie en updates vrij te geven. Producten die onder de loep worden genomen, zijn onder meer Cisco's netwerkbeheer- en provisioningtechnologieën, spraak- en unified communications-producten en zijn klantensamenwerkingsplatform.

Het beveiligingslek treft Struts-versies 2.5.0 tot 2.5.32 en Struts-versies 6.0.0 tot 6.3.0. De bug is ook aanwezig in Struts versies 2.0.0 tot Struts 2.3.37, die nu end-of-life zijn.

De ASF, beveiligingsleveranciers en entiteiten zoals de Amerikaanse cyberbeveiligings- en informatiebeveiligingsagentschap (CISA) heeft aanbevolen dat organisaties die de software gebruiken onmiddellijk updaten naar Struts versie 2.5.33 of Struts 6.3.0.2 of hoger. Volgens ASF zijn er geen oplossingen beschikbaar voor de kwetsbaarheid.

De afgelopen jaren hebben onderzoekers talloze tekortkomingen in Struts ontdekt. De belangrijkste daarvan was gemakkelijk CVE-2017-5638 in 2017, waardoor duizenden organisaties werden getroffen en een inbreuk bij Equifax mogelijk werd gemaakt, waarbij gevoelige gegevens van maar liefst 143 miljoen Amerikaanse consumenten openbaar werden gemaakt. Die bug zweeft eigenlijk nog steeds rond: campagnes die gebruikmaken van de zojuist ontdekte NKAbuse blockchain-malware, ze exploiteren het bijvoorbeeld voor initiële toegang.

Een gevaarlijke Apache blokkeert 2 bug, maar moeilijk te exploiteren

Onderzoekers van Trend Micro die deze week de nieuwe Apache Struts-kwetsbaarheid analyseerden beschreef het als gevaarlijk, maar aanzienlijk moeilijker om op grote schaal te exploiteren dan de bug uit 2017, die weinig meer was dan een kwestie van scannen en exploiteren.  

“De CVE-2023-50164-kwetsbaarheid wordt nog steeds op grote schaal uitgebuit door een breed scala aan bedreigingsactoren die deze kwetsbaarheid misbruiken om kwaadaardige activiteiten uit te voeren, waardoor het een aanzienlijk veiligheidsrisico vormt voor organisaties over de hele wereld”, aldus Trend Micro-onderzoekers.

Door de fout kan een tegenstander de parameters voor het uploaden van bestanden manipuleren om het pad te kunnen doorlopen: “Dit zou mogelijk kunnen resulteren in het uploaden van een kwaadaardig bestand, waardoor uitvoering van externe code mogelijk wordt”, merkten ze op.

Om de fout te misbruiken, zou een aanvaller eerst websites of webapplicaties moeten scannen en identificeren met behulp van een kwetsbare Apache Struts-versie, zei Akamai in een rapport met een samenvatting van de analyse van de dreiging deze week. Ze zouden dan een speciaal vervaardigd verzoek moeten sturen om een ​​bestand naar de kwetsbare site of web-app te uploaden. Het verzoek zou verborgen opdrachten bevatten die ervoor zouden zorgen dat het kwetsbare systeem het bestand op een locatie of map zou plaatsen van waaruit de aanval er toegang toe zou kunnen krijgen en de uitvoering van kwaadaardige code op het getroffen systeem zou kunnen veroorzaken.

"Er moeten bepaalde acties in de webapplicatie worden geïmplementeerd om het uploaden van kwaadaardige bestanden uit meerdere delen mogelijk te maken”, zegt Sam Tinklenberg, senior beveiligingsonderzoeker bij Akamai. “Of dit standaard is ingeschakeld, hangt af van de implementatie van Struts 2. Op basis van wat we hebben gezien, is het waarschijnlijker dat dit niet standaard is ingeschakeld.”

Twee PoC-exploitvarianten voor CVE-2023-50164

Akamai zei dat het tot nu toe aanvallen heeft gezien gericht op CVE-2023-50164 met behulp van de publiekelijk vrijgegeven PoC, en een andere reeks aanvalsactiviteiten waarbij gebruik werd gemaakt van wat een variant van de originele PoC lijkt te zijn.

“Het exploitmechanisme is hetzelfde tussen de twee” aanvallen, zegt Tinklenberg. “De items die verschillen zijn echter het eindpunt en de parameter die worden gebruikt bij de exploitatiepoging.”

De vereisten waaraan een aanvaller de kwetsbaarheid met succes moet misbruiken, kunnen per implementatie aanzienlijk variëren, voegt Tinklenberg toe. Deze omvatten onder meer de noodzaak dat een kwetsbare app de functie voor het uploaden van bestanden heeft ingeschakeld en dat een niet-geverifieerde gebruiker bestanden kan uploaden. Als een kwetsbare app geen ongeautoriseerde gebruikersuploads toestaat, moet de aanvaller op andere manieren authenticatie en autorisatie verkrijgen. De aanvaller zou het eindpunt ook moeten identificeren met behulp van de kwetsbare functie voor het uploaden van bestanden, zegt hij.

Hoewel deze kwetsbaarheid in Apache Struts misschien niet zo gemakkelijk op grote schaal kan worden uitgebuit in vergelijking met eerdere tekortkomingen, roept de aanwezigheid ervan in een dergelijk breed geaccepteerd raamwerk zeker aanzienlijke veiligheidsproblemen op, zegt Saeed Abbasi, manager kwetsbaarheids- en dreigingsonderzoek bij Qualys.

“Deze specifieke kwetsbaarheid valt op vanwege de complexiteit en de specifieke omstandigheden die nodig zijn voor exploitatie, waardoor wijdverspreide aanvallen moeilijk maar mogelijk zijn”, merkt hij op. “Gezien de uitgebreide integratie van Apache Struts in verschillende kritieke systemen, kan het potentieel voor gerichte aanvallen niet worden onderschat.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug