Det er stor bekymring for et kritisk, nylig avslørt sikkerhetsproblem i Apache Struts 2 (RCE) som angripere aktivt har utnyttet de siste dagene.
Apache Struts er et mye brukt åpen kildekode-rammeverk for å bygge Java-applikasjoner. Utviklere kan bruke den til å bygge modulære webapplikasjoner basert på det som er kjent som Model-View-Controller (MVC)-arkitekturen. Apache Software Foundation (ASF) avslørte feilen 7. desember og ga den en nesten maksimal alvorlighetsgrad på 9.8 av 10 på CVSS-skalaen. Sårbarheten, spores som CVE-2023-50164 har å gjøre med hvordan Struts håndterer parametere i filopplastinger og gir angripere en måte å få full kontroll over berørte systemer.
Et utbredt sikkerhetsproblem som påvirker Java-apper
Feilen har vakt betydelig bekymring på grunn av dens utbredelse, det faktum at den er eksternt kjørbar, og fordi proof-of-concept utnyttelseskode er offentlig tilgjengelig for den. Siden avsløringen av feilen forrige uke, har flere leverandører - og enheter som f.eks ShadowServer — har rapportert å se tegn på utnyttelsesaktivitet rettet mot feilen.
ASF selv har beskrevet Apache Struts som å ha en "enorm brukerbase", på grunn av det faktum at den har eksistert i mer enn to tiår. Sikkerhetseksperter anslår at det er tusenvis av applikasjoner over hele verden – inkludert de som er i bruk hos mange Fortune 500-selskaper og organisasjoner i offentlige sektorer og kritisk infrastruktur – som er basert på Apache Struts.
Mange leverandørteknologier inkluderer også Apache Struts 2. Cisco, for eksempel, er for tiden undersøker alle produkter som sannsynligvis er berørt av feilen og planlegger å gi ut tilleggsinformasjon og oppdateringer når det er nødvendig. Produkter som er under gransking inkluderer Ciscos nettverksadministrasjons- og klargjøringsteknologier, tale- og enhetlig kommunikasjonsprodukter og deres kundesamarbeidsplattform.
Sårbarheten påvirker Struts versjoner 2.5.0 til 2.5.32 og Struts versjoner 6.0.0 til 6.3.0. Feilen er også til stede i Struts versjoner 2.0.0 til Struts 2.3.37, som nå er utgått.
ASF, sikkerhetsleverandører og enheter som US Cybersecurity and Information Security Agency (CISA) har anbefalt at organisasjoner som bruker programvaren umiddelbart oppdaterer til Struts versjon 2.5.33 eller Struts 6.3.0.2 eller nyere. Det er ikke tilgjengelige avbøtende tiltak for sårbarheten, ifølge ASF.
De siste årene har forskere avdekket en rekke feil i Struts. Den mest betydningsfulle av dem var lett CVE-2017-5638 i 2017, som berørte tusenvis av organisasjoner og muliggjorde et brudd på Equifax som avslørte sensitive data som tilhører svimlende 143 millioner amerikanske forbrukere. Den feilen flyter faktisk fortsatt rundt - kampanjer som bruker det nettopp oppdagede NKAbuse blockchain malware, for eksempel utnytter den for førstegangstilgang.
En farlig Apache Struts 2-feil, men vanskelig å utnytte
Forskere ved Trend Micro som analyserte den nye Apache Struts-sårbarheten denne uken beskrev det som farlig, men betydelig vanskeligere å utnytte i større skala enn 2017-feilen, som var lite mer enn et skannings- og utnyttelsesproblem.
"CVE-2023-50164-sårbarheten fortsetter å bli mye utnyttet av et bredt spekter av trusselaktører som misbruker denne sårbarheten til å utføre ondsinnede aktiviteter, noe som gjør det til en betydelig sikkerhetsrisiko for organisasjoner over hele verden," sa Trend Micro-forskere.
Feilen tillater i utgangspunktet en motstander å manipulere filopplastingsparametere for å muliggjøre banegjennomgang: "Dette kan potensielt resultere i opplasting av en ondsinnet fil, som muliggjør ekstern kjøring av kode," bemerket de.
For å utnytte feilen, må en angriper først skanne etter og identifisere nettsteder eller nettapplikasjoner ved å bruke en sårbar Apache Struts-versjon, sa Akamai i en rapport som oppsummerer analysen av trusselen denne uka. De må da sende en spesiallaget forespørsel om å laste opp en fil til det sårbare nettstedet eller nettappen. Forespørselen vil inneholde skjulte kommandoer som vil føre til at det sårbare systemet plasserer filen på et sted eller en katalog der angrepet kan få tilgang til den og utløse kjøring av ondsinnet kode på det berørte systemet.
"Nettapplikasjonen må ha visse handlinger implementert for å aktivere den ondsinnede flerdelte filopplastingen, sier Sam Tinklenberg, senior sikkerhetsforsker ved Akamai. "Om dette er aktivert som standard avhenger av implementeringen av Struts 2. Basert på det vi har sett, er det mer sannsynlig at dette ikke er noe aktivert som standard."
To PoC-utnyttelsesvarianter for CVE-2023-50164
Akamai sa at det så langt har sett angrep rettet mot CVE-2023-50164 ved å bruke den offentlig utgitte PoC, og et annet sett med angrepsaktivitet som bruker det som ser ut til å være en variant av den originale PoC.
"Utnyttelsesmekanismen er den samme mellom de to" angrepssettene, sier Tinklenberg. "Men elementene som er forskjellige er endepunktet og parameteren som ble brukt i utnyttelsesforsøket."
Kravene til at en angriper skal lykkes med å utnytte sårbarheten kan variere betydelig etter implementering, legger Tinklenberg til. Disse inkluderer behovet for at en sårbar app skal ha filopplastingsfunksjonen aktivert og at den skal tillate en uautentisert bruker å laste opp filer. Hvis en sårbar app ikke tillater uautoriserte brukeropplastinger, må angriperen få autentisering og autorisasjon på andre måter. Angriperen må også identifisere endepunktet ved å bruke funksjonen for sårbar filopplasting, sier han.
Selv om denne sårbarheten i Apache Struts kanskje ikke er like lett å utnytte i stor skala sammenlignet med tidligere feil, reiser dens tilstedeværelse i et så vidt vedtatt rammeverk absolutt betydelige sikkerhetsproblemer, sier Saeed Abbasi, leder for sårbarhets- og trusselforskning hos Qualys.
"Denne spesielle sårbarheten skiller seg ut på grunn av dens kompleksitet og de spesifikke betingelsene som kreves for utnyttelse, noe som gjør omfattende angrep vanskelige, men mulige," bemerker han. "Gitt Apache Struts omfattende integrasjon i ulike kritiske systemer, kan potensialet for målrettede angrep ikke undervurderes."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- : har
- :er
- :ikke
- :hvor
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- misbruk
- adgang
- Ifølge
- handlinger
- aktivt
- Aktiviteter
- aktivitet
- aktører
- faktisk
- Ytterligere
- Tilleggsinformasjon
- Legger
- vedtatt
- påvirkes
- påvirker
- Alle
- tillate
- tillater
- også
- an
- analyse
- analysert
- og
- En annen
- Apache
- app
- vises
- Søknad
- søknader
- arkitektur
- ER
- rundt
- AS
- ASF
- At
- angripe
- Angrep
- forsøk
- Autentisering
- autorisasjon
- tilgjengelig
- basen
- basert
- I utgangspunktet
- BE
- fordi
- vært
- tilhørighet
- mellom
- blockchain
- brudd
- Bug
- bygge
- Bygning
- men
- by
- Kampanjer
- CAN
- kan ikke
- Årsak
- viss
- Gjerne
- Cisco
- kode
- samarbeid
- kommunikasjon
- Selskaper
- sammenlignet
- fullføre
- kompleksitet
- Bekymring
- bekymringer
- forhold
- betydelig
- Forbrukere
- inneholde
- fortsetter
- kontroll
- kunne
- utformet
- kritisk
- Kritisk infrastruktur
- kunde
- Cybersecurity
- Dangerous
- dato
- Dager
- desember
- tiår
- Misligholde
- avhenger
- beskrevet
- utviklere
- avvike
- vanskelig
- avsløring
- do
- gjør
- to
- lett
- muliggjøre
- aktivert
- muliggjør
- Endpoint
- enheter
- Equifax
- anslag
- gjennomføring
- eksperter
- Exploit
- utnytting
- Exploited
- utnytte
- utsatt
- omfattende
- Faktisk
- langt
- Noen få
- filet
- Filer
- Først
- feil
- feil
- flytende
- Til
- Fortune
- Fundament
- Rammeverk
- fra
- funksjon
- Gevinst
- ga
- gitt
- gir
- Regjeringen
- større
- Håndterer
- Hard
- Ha
- å ha
- he
- skjult
- Høy
- Hvordan
- Men
- HTML
- HTTPS
- stort
- identifisere
- if
- umiddelbart
- gjennomføring
- implementert
- in
- inkludere
- Inkludert
- innlemme
- informasjon
- informasjonssikkerhet
- Infrastruktur
- innledende
- f.eks
- integrering
- utstedelse
- IT
- varer
- DET ER
- selv
- Java
- jpg
- kjent
- stor
- Siste
- Sannsynlig
- lite
- plassering
- Making
- malware
- ledelse
- leder
- mange
- maksimal
- midler
- mekanisme
- micro
- kunne
- millioner
- modulære
- mer
- mest
- flere
- må
- Nær
- Trenger
- nødvendig
- nettverk
- Ny
- nst
- Nei.
- bemerket
- Merknader
- nå
- mange
- of
- on
- åpen
- åpen kildekode
- or
- organisasjoner
- original
- Annen
- ut
- enn
- parameter
- parametere
- Spesielt
- Past
- patch
- banen
- Utfør
- Sted
- planer
- plattform
- plato
- Platon Data Intelligence
- PlatonData
- PoC
- mulig
- potensiell
- potensielt
- tilstedeværelse
- presentere
- utbredt
- forrige
- Produkter
- offentlig
- hever
- område
- vurdering
- lett
- nylig
- nylig
- anbefales
- slipp
- utgitt
- fjernkontroll
- eksternt
- rapportert
- anmode
- påkrevd
- Krav
- forskning
- forsker
- forskere
- resultere
- Risiko
- s
- Sa
- Sam
- samme
- sier
- Skala
- skanne
- granskning
- sektorer
- sikkerhet
- se
- sett
- send
- senior
- sensitive
- sett
- sett
- signifikant
- betydelig
- Skilt
- siden
- nettstedet
- So
- så langt
- Software
- noe
- kilde
- spesielt
- spesifikk
- svimlende
- står
- Still
- vellykket
- slik
- system
- Systemer
- målrettet
- rettet mot
- Technologies
- enn
- Det
- De
- Dem
- deretter
- Der.
- Disse
- de
- denne
- denne uka
- De
- tusener
- trussel
- trusselaktører
- til
- Trend
- utløse
- to
- uautorisert
- etter
- enhetlig
- Oppdater
- oppdateringer
- Opplasting
- us
- bruke
- brukt
- Bruker
- ved hjelp av
- variant
- ulike
- leverandør
- leverandører
- versjon
- versjoner
- av
- Voice
- sårbarhet
- Sårbar
- var
- Vei..
- we
- web
- Webapplikasjon
- nettapplikasjoner
- nettsteder
- uke
- VI VIL
- Hva
- Hva er
- når
- om
- hvilken
- HVEM
- bred
- Bred rekkevidde
- allment
- utbredt
- med
- verdensomspennende
- ville
- år
- zephyrnet
