Łatka teraz: Wykorzystaj wierzchowce aktywności w celu usunięcia niebezpiecznego błędu Apache Struts 2

Istnieją duże obawy w związku z krytyczną, niedawno ujawnioną luką w zabezpieczeniach Apache Struts 2 umożliwiającą zdalne wykonanie kodu (RCE), którą napastnicy aktywnie wykorzystywali w ciągu ostatnich kilku dni.

Apache Struts to szeroko stosowana platforma open source do tworzenia aplikacji Java. Programiści mogą go używać do tworzenia modułowych aplikacji internetowych w oparciu o tak zwaną architekturę Model-View-Controller (MVC). Fundacja oprogramowania Apache (ASF) ujawnił błąd 7 grudnia przyznał mu niemal maksymalną ocenę dotkliwości na poziomie 9.8 na 10 w skali CVSS. Luka, śledzona jako CVE-2023-50164 ma związek ze sposobem, w jaki Struts obsługuje parametry przesyłanych plików i umożliwia atakującym uzyskanie pełnej kontroli nad systemami, których dotyczy problem.

Powszechnie występujący problem bezpieczeństwa wpływający na aplikacje Java

Luka wzbudziła poważne obawy ze względu na jej powszechność, fakt, że można ją zdalnie wykonać, a także publicznie dostępny kod exploita sprawdzający koncepcję. Od czasu ujawnienia luki w zeszłym tygodniu wielu dostawców i podmioty takie jak Serwer Shadow — zgłosili, że zauważyli oznaki exploitów ukierunkowanych na tę lukę.

Sama organizacja ASF opisała Apache Struts jako mającą „ogromną bazę użytkowników” ze względu na fakt, że istnieje ona na rynku od ponad dwóch dekad. Eksperci ds. bezpieczeństwa szacują, że na całym świecie istnieją tysiące aplikacji — w tym te używane w wielu firmach i organizacjach z listy Fortune 500 w sektorach rządowych i infrastruktury krytycznej — opartych na platformie Apache Struts.  

Wiele technologii dostawców wykorzystuje również Apache Struts 2. Na przykład Cisco jest obecnie bada wszystkie produkty, na które prawdopodobnie wpływa błąd, i planuje udostępnić dodatkowe informacje i aktualizacje, jeśli zajdzie taka potrzeba. Produkty objęte analizą obejmują technologie Cisco do zarządzania i udostępniania sieci, produkty głosowe i ujednoliconej komunikacji oraz platformę współpracy z klientami.

Luka dotyczy Struts w wersjach od 2.5.0 do 2.5.32 i Struts w wersjach od 6.0.0 do 6.3.0. Błąd występuje także w wersjach Struts od 2.0.0 do 2.3.37, które obecnie zostały wycofane.

ASF, dostawcy zabezpieczeń i podmioty takie jak Amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Informacji (CISA) zaleciła organizacjom korzystającym z oprogramowania natychmiastową aktualizację do wersji Struts 2.5.33 lub Struts 6.3.0.2 lub nowszej. Według ASF nie są dostępne żadne rozwiązania ograniczające tę lukę.

W ostatnich latach badacze odkryli liczne wady Struts. Z pewnością najważniejszym z nich był CVE-2017-5638 w 2017 r., co dotknęło tysiące organizacji i umożliwiło naruszenie w Equifax, które ujawniło wrażliwe dane należące do oszałamiającej liczby 143 milionów amerykańskich konsumentów. Ten błąd tak naprawdę wciąż się pojawia – w kampaniach wykorzystujących właśnie odkryte NKAbuse złośliwe oprogramowanie typu blockchain, na przykład wykorzystują go do uzyskania pierwszego dostępu.

Niebezpieczny błąd Apache Struts 2, ale trudny do wykorzystania

Badacze z Trend Micro, którzy w tym tygodniu analizowali nową lukę w zabezpieczeniach Apache Struts określił ją jako niebezpieczną, ale znacznie trudniejszą wykorzystywać na większą skalę niż błąd z 2017 r., który był niczym więcej niż problemem ze skanowaniem i exploitami.  

„Luka CVE-2023-50164 jest w dalszym ciągu szeroko wykorzystywana przez szeroką gamę podmiotów zagrażających, które wykorzystują tę lukę do wykonywania złośliwych działań, co czyni ją poważnym zagrożeniem bezpieczeństwa dla organizacji na całym świecie” – stwierdzili badacze Trend Micro.

Luka zasadniczo umożliwia atakującemu manipulowanie parametrami przesyłania plików w celu umożliwienia przejścia ścieżki: „Może to potencjalnie skutkować przesłaniem złośliwego pliku umożliwiającego zdalne wykonanie kodu” – zauważyli.

Aby wykorzystać tę lukę, osoba atakująca musiałaby najpierw przeskanować i zidentyfikować strony internetowe lub aplikacje internetowe przy użyciu podatnej na ataki wersji Apache Struts, stwierdził Akamai w swoim oświadczeniu. raport podsumowujący analizę zagrożenia w tym tygodniu. Następnie musieliby wysłać specjalnie spreparowane żądanie przesłania pliku do podatnej witryny lub aplikacji internetowej. Żądanie zawierałoby ukryte polecenia, które powodowałyby, że podatny system umieścił plik w lokalizacji lub katalogu, z którego atak mógłby uzyskać do niego dostęp i spowodować wykonanie złośliwego kodu w zaatakowanym systemie.

"W aplikacji internetowej muszą zostać zaimplementowane pewne działania, aby umożliwić przesyłanie złośliwego pliku wieloczęściowego” – mówi Sam Tinklenberg, starszy badacz ds. bezpieczeństwa w firmie Akamai. „To, czy jest to domyślnie włączone, zależy od implementacji Struts 2. Na podstawie tego, co widzieliśmy, jest bardziej prawdopodobne, że nie jest to włączone domyślnie.”

Dwa warianty exploitów PoC dla CVE-2023-50164

Akamai stwierdził, że do tej pory widział ataki ukierunkowane na CVE-2023-50164 przy użyciu publicznie udostępnionego PoC, a także inny zestaw ataków z wykorzystaniem czegoś, co wydaje się być wariantem oryginalnego PoC.

„Mechanizm exploitów jest taki sam w przypadku obu zestawów ataków”, mówi Tinklenberg. „Jednak elementy, które się różnią, to punkt końcowy i parametry użyte w próbie wykorzystania”.

Tinklenberg dodaje, że wymagania, jakie musi spełnić osoba atakująca, aby skutecznie wykorzystać tę lukę, mogą się znacznie różnić w zależności od implementacji. Należą do nich konieczność włączenia funkcji przesyłania plików w aplikacji podatnej na ataki i umożliwienia nieuwierzytelnionemu użytkownikowi przesyłania plików. Jeśli aplikacja podatna na ataki nie pozwala na przesyłanie plików przez nieautoryzowanych użytkowników, osoba atakująca będzie musiała uzyskać uwierzytelnienie i autoryzację w inny sposób. Osoba atakująca musiałaby także zidentyfikować punkt końcowy za pomocą funkcji przesyłania plików zawierających luki – mówi.

Chociaż luka w Apache Struts może nie nadawać się tak łatwo do wykorzystania na dużą skalę w porównaniu z poprzednimi wadami, jej obecność w tak powszechnie przyjętym środowisku z pewnością budzi poważne obawy dotyczące bezpieczeństwa, mówi Saeed Abbasi, kierownik ds. badań podatności i zagrożeń w Qualys.

„Ta szczególna luka wyróżnia się swoją złożonością i specyficznymi warunkami wymaganymi do wykorzystania, co sprawia, że ​​szeroko zakrojone ataki są trudne, ale możliwe” – zauważa. „Biorąc pod uwagę rozległą integrację Apache Struts z różnymi krytycznymi systemami, nie można niedoceniać potencjału ataków ukierunkowanych”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug