Patch agora: explorar montagens de atividades para bug perigoso do Apache Struts 2

As preocupações são grandes em relação a uma vulnerabilidade crítica de execução remota de código (RCE) recentemente divulgada no Apache Struts 2, que os invasores têm explorado ativamente nos últimos dias.

Apache Struts é uma estrutura de código aberto amplamente utilizada para construir aplicativos Java. Os desenvolvedores podem usá-lo para construir aplicativos Web modulares baseados no que é conhecido como arquitetura Model-View-Controller (MVC). Fundação Apache Software (ASF) divulgou o bug em 7 de dezembro e deu-lhe uma classificação de gravidade quase máxima de 9.8 em 10 na escala CVSS. A vulnerabilidade, rastreada como CVE-2023-50164 tem a ver com a forma como o Struts lida com parâmetros em uploads de arquivos e oferece aos invasores uma maneira de obter controle total dos sistemas afetados.

Um problema de segurança amplamente prevalente que afeta aplicativos Java

A falha despertou considerável preocupação devido à sua prevalência, ao fato de ser executável remotamente e porque o código de exploração de prova de conceito está disponível publicamente para ela. Desde a divulgação da falha na semana passada, vários fornecedores – e entidades como ShadowServer – relataram ter visto sinais de atividade de exploração visando a falha.

A própria ASF descreveu o Apache Struts como tendo uma “enorme base de usuários”, devido ao fato de existir há mais de duas décadas. Especialistas em segurança estimam que existam milhares de aplicativos em todo o mundo — incluindo aqueles em uso em muitas empresas e organizações da Fortune 500 em setores governamentais e de infraestrutura crítica — que são baseados no Apache Struts.  

Muitas tecnologias de fornecedores também incorporam o Apache Struts 2. A Cisco, por exemplo, é atualmente investigando todos os produtos que provavelmente serão afetados pelo bug e planeja lançar informações e atualizações adicionais quando necessário. Os produtos que estão sob escrutínio incluem as tecnologias de gerenciamento e provisionamento de rede da Cisco, produtos de voz e comunicações unificadas e sua plataforma de colaboração com o cliente.

A vulnerabilidade afeta as versões 2.5.0 a 2.5.32 do Struts e as versões 6.0.0 a 6.3.0 do Struts. O bug também está presente nas versões 2.0.0 do Struts ao Struts 2.3.37, que agora estão em fim de vida.

A ASF, fornecedores de segurança e entidades como a Agência de Segurança Cibernética e da Informação dos EUA (CISA) recomendou que as organizações que usam o software atualizem imediatamente para o Struts versão 2.5.33 ou Struts 6.3.0.2 ou superior. Nenhuma mitigação está disponível para a vulnerabilidade, de acordo com a ASF.

Nos últimos anos, os pesquisadores descobriram inúmeras falhas no Struts. Facilmente o mais significativo deles foi CVE-2017-5638 em 2017, que afetou milhares de organizações e permitiu uma violação na Equifax que expôs dados confidenciais pertencentes a impressionantes 143 milhões de consumidores nos EUA. Na verdade, esse bug ainda está circulando - campanhas usando o recém-descoberto Malware blockchain NKAbuse, por exemplo, estão explorando-o para acesso inicial.

Um bug perigoso do Apache Struts 2, mas difícil de explorar

Pesquisadores da Trend Micro que analisaram a nova vulnerabilidade do Apache Struts esta semana descreveu-o como perigoso, mas consideravelmente mais difícil para explorar em escala do que o bug de 2017, que era pouco mais do que um problema de varredura e exploração.  

“A vulnerabilidade CVE-2023-50164 continua a ser amplamente explorada por uma ampla gama de agentes de ameaças que abusam desta vulnerabilidade para realizar atividades maliciosas, tornando-a um risco de segurança significativo para organizações em todo o mundo”, disseram os pesquisadores da Trend Micro.

A falha basicamente permite que um adversário manipule os parâmetros de upload de arquivos para permitir a travessia do caminho: “Isso pode resultar no upload de um arquivo malicioso, permitindo a execução remota de código”, observaram.

Para explorar a falha, um invasor precisaria primeiro procurar e identificar sites ou aplicativos da Web usando uma versão vulnerável do Apache Struts, disse a Akamai em um comunicado. relatório resumindo sua análise da ameaça essa semana. Eles precisariam então enviar uma solicitação especialmente criada para carregar um arquivo no site ou aplicativo da Web vulnerável. A solicitação conteria comandos ocultos que fariam com que o sistema vulnerável colocasse o arquivo em um local ou diretório de onde o ataque pudesse acessá-lo e desencadearia a execução de código malicioso no sistema afetado.

"A aplicação Web deve ter determinadas ações implementadas para permitir o upload malicioso de arquivos multipartes”, afirma Sam Tinklenberg, pesquisador sênior de segurança da Akamai. “Se isso está habilitado por padrão depende da implementação do Struts 2. Com base no que vimos, é mais provável que isso não seja algo habilitado por padrão.”

Duas variantes de exploração PoC para CVE-2023-50164

A Akamai disse que até agora viu ataques direcionados ao CVE-2023-50164 usando o PoC divulgado publicamente e outro conjunto de atividades de ataque usando o que parece ser uma variante do PoC original.

“O mecanismo de exploração é o mesmo entre os dois” conjuntos de ataques, diz Tinklenberg. “No entanto, os itens que diferem são o endpoint e o parâmetro usado na tentativa de exploração.”

Os requisitos para um invasor explorar com sucesso a vulnerabilidade podem variar significativamente de acordo com a implementação, acrescenta Tinklenberg. Isso inclui a necessidade de um aplicativo vulnerável ter a função de upload de arquivos ativada e permitir que um usuário não autenticado faça upload de arquivos. Se um aplicativo vulnerável não permitir uploads não autorizados de usuários, o invasor precisará obter autenticação e autorização por outros meios. O invasor também precisaria identificar o endpoint usando a função de upload de arquivo vulnerável, diz ele.

Embora esta vulnerabilidade no Apache Struts possa não ser tão facilmente explorável em grande escala em comparação com falhas anteriores, a sua presença numa estrutura tão amplamente adotada levanta certamente preocupações de segurança significativas, diz Saeed Abbasi, gestor de vulnerabilidade e investigação de ameaças da Qualys.

“Esta vulnerabilidade específica destaca-se pela sua complexidade e pelas condições específicas exigidas para a exploração, tornando difíceis, mas possíveis, ataques generalizados”, observa. “Dada a ampla integração do Apache Struts em vários sistemas críticos, o potencial para ataques direcionados não pode ser subestimado.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug