Patch Now: Exploat Activity Mounts for Dangerous Apache Struts 2 Bug

Îngrijorările sunt mari cu privire la o vulnerabilitate critică de execuție a codului de la distanță (RCE) din Apache Struts 2, dezvăluită recent, pe care atacatorii au exploatat-o ​​în mod activ în ultimele zile.

Apache Struts este un cadru open source utilizat pe scară largă pentru construirea de aplicații Java. Dezvoltatorii îl pot folosi pentru a construi aplicații web modulare bazate pe ceea ce este cunoscut sub numele de arhitectura Model-View-Controller (MVC). Apache Software Foundation (ASF) a dezvăluit bug-ul pe 7 decembrie și i-a dat un rating de severitate aproape maxim de 9.8 din 10 pe scala CVSS. Vulnerabilitatea, urmărită ca CVE-2023-50164 are de-a face cu modul în care Struts gestionează parametrii în încărcările de fișiere și oferă atacatorilor o modalitate de a obține controlul complet asupra sistemelor afectate.

O problemă de securitate larg răspândită care afectează aplicațiile Java

Defectul a stârnit îngrijorare considerabilă din cauza prevalenței sale, a faptului că este executabil de la distanță și pentru că codul de exploatare cu dovadă de concept este disponibil public pentru acesta. De la dezvăluirea defectului săptămâna trecută, mai mulți vânzători - și entități precum ShadowServer — au raportat că au văzut semne de activitate de exploatare care vizează defectul.

ASF însuși a descris Apache Struts ca având o „bază uriașă de utilizatori”, din cauza faptului că există de mai bine de două decenii. Experții în securitate estimează că există mii de aplicații în întreaga lume – inclusiv cele utilizate de multe companii și organizații din Fortune 500 din sectoarele guvernamentale și ale infrastructurii critice – care se bazează pe Apache Struts.  

Multe tehnologii de furnizor încorporează și Apache Struts 2. Cisco, de exemplu, este cercetează în prezent toate produsele care sunt probabil afectate de eroare și intenționează să lanseze informații suplimentare și actualizări atunci când este necesar. Produsele care sunt supuse controlului includ tehnologiile Cisco de gestionare a rețelei și de furnizare, produse de voce și de comunicații unificate și platforma de colaborare cu clienții.

Vulnerabilitatea afectează versiunile Struts 2.5.0 până la 2.5.32 și versiunile Struts 6.0.0 până la 6.3.0. Bug-ul este prezent și în versiunile Struts 2.0.0 până la Struts 2.3.37, care sunt acum la sfârșitul vieții.

ASF, furnizorii de securitate și entități precum Agenția SUA pentru Securitate Cibernetică și Securitate Informațională (CISA) au recomandat organizațiilor care utilizează software-ul să actualizeze imediat Struts versiunea 2.5.33 sau Struts 6.3.0.2 sau o versiune ulterioară. Nu sunt disponibile măsuri de atenuare pentru vulnerabilitate, potrivit ASF.

În ultimii ani, cercetătorii au descoperit numeroase defecte în Struts. Cu ușurință, cea mai semnificativă dintre ele a fost CVE-2017-5638 în 2017, care a afectat mii de organizații și a permis o breșă la Equifax care a expus date sensibile aparținând a 143 de milioane de consumatori din SUA. De fapt, această eroare continuă să plutească - campanii care folosesc cel recent descoperit Malware blockchain NKAbuse, de exemplu, îl exploatează pentru accesul inițial.

O eroare periculoasă Apache Struts 2, dar greu de exploatat

Cercetătorii de la Trend Micro care au analizat noua vulnerabilitate Apache Struts în această săptămână l-a descris ca fiind periculos, dar considerabil mai greu pentru a exploata la scară decât bug-ul din 2017, care a fost puțin mai mult decât o problemă de scanare și exploatare.  

„Vulnerabilitatea CVE-2023-50164 continuă să fie exploatată pe scară largă de către o gamă largă de amenințări care abuzează de această vulnerabilitate pentru a efectua activități rău intenționate, ceea ce o face un risc semnificativ de securitate pentru organizațiile din întreaga lume”, au spus cercetătorii Trend Micro.

Defectul permite practic unui adversar să manipuleze parametrii de încărcare a fișierelor pentru a permite traversarea căii: „Acest lucru ar putea duce la încărcarea unui fișier rău intenționat, permițând execuția de cod de la distanță”, au remarcat ei.

Pentru a exploata defectul, un atacator ar trebui mai întâi să scaneze și să identifice site-uri web sau aplicații web folosind o versiune vulnerabilă Apache Struts, a spus Akamai într-un raport care rezumă analiza amenințării în această săptămână. Apoi ar trebui să trimită o solicitare special concepută pentru a încărca un fișier pe site-ul vulnerabil sau pe aplicația web. Solicitarea ar conține comenzi ascunse care ar determina sistemul vulnerabil să plaseze fișierul într-o locație sau director de unde atacul ar putea să-l acceseze și să declanșeze execuția de cod rău intenționat pe sistemul afectat.

Aplicația web trebuie să aibă anumite acțiuni implementate pentru a permite încărcarea fișierelor rău intenționate în mai multe părți”, spune Sam Tinklenberg, cercetător senior de securitate la Akamai. „Dacă acest lucru este activat implicit depinde de implementarea Struts 2. Pe baza a ceea ce am văzut, este mai probabil că acesta nu este ceva activat în mod implicit.”

Două variante de exploatare PoC pentru CVE-2023-50164

Akamai a spus că a văzut până acum atacuri care vizează CVE-2023-50164 folosind PoC-ul lansat public și un alt set de activități de atac folosind ceea ce pare a fi o variantă a PoC-ului original.

„Mecanismul de exploatare este același între cele două” seturi de atacuri, spune Tinklenberg. „Cu toate acestea, elementele care diferă sunt punctul final și parametrul utilizat în încercarea de exploatare.”

Cerințele pentru ca un atacator să exploateze cu succes vulnerabilitatea pot varia semnificativ în funcție de implementare, adaugă Tinklenberg. Acestea includ necesitatea ca o aplicație vulnerabilă să aibă funcția de încărcare a fișierelor activată și să permită unui utilizator neautentificat să încarce fișiere. Dacă o aplicație vulnerabilă nu permite încărcări neautorizate de utilizatori, atacatorul ar trebui să obțină autentificare și autorizare prin alte mijloace. Atacatorul ar trebui, de asemenea, să identifice punctul final folosind funcția de încărcare a fișierelor vulnerabile, spune el.

Deși această vulnerabilitate din Apache Struts ar putea să nu fie la fel de ușor exploatabilă la scară largă în comparație cu defecte anterioare, prezența ei într-un cadru atât de adoptat pe scară largă ridică cu siguranță preocupări semnificative de securitate, spune Saeed Abbasi, managerul cercetării vulnerabilităților și amenințărilor la Qualys.

„Această vulnerabilitate particulară iese în evidență prin complexitatea sa și prin condițiile specifice necesare pentru exploatare, făcând atacurile pe scară largă dificile, dar posibile”, notează el. „Având în vedere integrarea extinsă a Apache Struts în diverse sisteme critice, potențialul de atacuri direcționate nu poate fi subestimat.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug