Высока обеспокоенность по поводу критической, недавно обнаруженной уязвимости удаленного выполнения кода (RCE) в Apache Struts 2, которую злоумышленники активно использовали в течение последних нескольких дней.
Apache Struts — это широко используемая платформа с открытым исходным кодом для создания приложений Java. Разработчики могут использовать его для создания модульных веб-приложений на основе так называемой архитектуры Модель-Представление-Контроллер (MVC). Фонд программного обеспечения Apache (ASF) раскрыл ошибку 7 декабря и присвоил ему почти максимальную степень серьезности — 9.8 из 10 по шкале CVSS. Уязвимость, отслеживаемая как CVE-2023-50164 связано с тем, как Struts обрабатывает параметры при загрузке файлов и дает злоумышленникам возможность получить полный контроль над затронутыми системами.
Широко распространенная проблема безопасности, затрагивающая Java-приложения
Уязвимость вызвала серьезную обеспокоенность из-за ее распространенности, того факта, что она может выполняться удаленно, а также потому, что код эксплойта, подтверждающий концепцию, для нее общедоступен. С момента обнаружения уязвимости на прошлой неделе несколько поставщиков и такие организации, как Теневой сервер — сообщили об обнаружении признаков активности эксплойтов, нацеленных на уязвимость.
Сама ASF описала Apache Struts как имеющую «огромную базу пользователей», поскольку она существует уже более двух десятилетий. По оценкам экспертов по безопасности, во всем мире существуют тысячи приложений, в том числе используемых во многих компаниях и организациях из списка Fortune 500 в государственном секторе и секторах критической инфраструктуры, основанных на Apache Struts.
Многие технологии поставщиков также включают Apache Struts 2. Cisco, например, в настоящее время расследует все продукты, которые могут быть затронуты этой ошибкой, и планирует выпускать дополнительную информацию и обновления по мере необходимости. В число продуктов, находящихся под пристальным вниманием, входят технологии управления и обеспечения сетей Cisco, продукты для голосовой связи и унифицированных коммуникаций, а также платформа для совместной работы с клиентами.
Уязвимость затрагивает версии Struts с 2.5.0 по 2.5.32 и версии Struts с 6.0.0 по 6.3.0. Эта ошибка также присутствует в версиях Struts от 2.0.0 до Struts 2.3.37, срок эксплуатации которых истек.
ASF, поставщики средств безопасности и такие организации, как Агентство кибербезопасности и информационной безопасности США (CISA) рекомендовало организациям, использующим это программное обеспечение, немедленно обновить его до версии Struts 2.5.33 или Struts 6.3.0.2 или более поздней версии. По данным ASF, никаких мер по устранению этой уязвимости не существует.
За последние годы исследователи обнаружили в Struts множество недостатков. Пожалуй, самым значимым из них был CVE-2017-5638 в 2017 году, что затронуло тысячи организаций и привело к взлому Equifax, в результате которого были раскрыты конфиденциальные данные, принадлежащие ошеломляющим 143 миллионам потребителей в США. Эта ошибка на самом деле все еще встречается — кампании, использующие только что обнаруженную Вредоносное ПО для блокчейна NKAbuse, например, используют его для первоначального доступа.
Опасная ошибка Apache Struts 2, которую сложно использовать
Исследователи из Trend Micro, которые на этой неделе проанализировали новую уязвимость Apache Struts описал это как опасное, но значительно более сложное для масштабного использования, чем ошибка 2017 года, которая представляла собой не более чем проблему сканирования и эксплойта.
«Уязвимость CVE-2023-50164 по-прежнему широко используется широким кругом злоумышленников, которые используют эту уязвимость для выполнения вредоносных действий, что делает ее серьезной угрозой безопасности для организаций по всему миру», — заявили исследователи Trend Micro.
По сути, эта уязвимость позволяет злоумышленнику манипулировать параметрами загрузки файлов, чтобы обеспечить обход пути: «Потенциально это может привести к загрузке вредоносного файла, что позволит удаленно выполнить код», — отметили они.
Чтобы воспользоваться уязвимостью, злоумышленнику сначала необходимо просканировать и идентифицировать веб-сайты или веб-приложения, используя уязвимую версию Apache Struts, сообщил Акамай в сообщении. отчет, обобщающий анализ угрозы На этой неделе. Затем им нужно будет отправить специально созданный запрос на загрузку файла на уязвимый сайт или в веб-приложение. Запрос будет содержать скрытые команды, которые заставят уязвимую систему поместить файл в место или каталог, откуда атака может получить к нему доступ, и инициируют выполнение вредоносного кода в затронутой системе.
В веб-приложении должны быть реализованы определенные действия, позволяющие загружать вредоносные составные файлы», — говорит Сэм Тинкленберг, старший исследователь безопасности в Akamai. «Включено ли это по умолчанию, зависит от реализации Struts 2. Судя по тому, что мы видели, более вероятно, что это не включено по умолчанию».
Два варианта PoC-эксплойта для CVE-2023-50164
Akamai сообщила, что на данный момент она видела атаки, нацеленные на CVE-2023-50164, с использованием публично выпущенного PoC, а также еще один набор атак с использованием того, что, по-видимому, является вариантом исходного PoC.
«Механизм эксплойта в обоих типах атак один и тот же», — говорит Тинкленберг. «Однако различаются конечная точка и параметр, используемые при попытке эксплуатации».
Требования к злоумышленнику для успешного использования уязвимости могут существенно различаться в зависимости от реализации, добавляет Тинкленберг. К ним относится необходимость в уязвимом приложении включить функцию загрузки файлов и разрешить неаутентифицированному пользователю загружать файлы. Если уязвимое приложение не допускает несанкционированную загрузку данных пользователем, злоумышленнику потребуется пройти аутентификацию и авторизацию другими способами. По его словам, злоумышленнику также необходимо будет идентифицировать конечную точку, используя уязвимую функцию загрузки файлов.
Хотя эту уязвимость в Apache Struts, возможно, не так легко использовать в больших масштабах по сравнению с предыдущими недостатками, ее присутствие в такой широко распространенной среде, безусловно, вызывает серьезные проблемы с безопасностью, говорит Саид Аббаси, менеджер по исследованиям уязвимостей и угроз в Qualys.
«Эта конкретная уязвимость выделяется своей сложностью и особыми условиями, необходимыми для ее использования, что делает широкомасштабные атаки трудными, но возможными», — отмечает он. «Учитывая обширную интеграцию Apache Struts в различные критически важные системы, нельзя недооценивать потенциал целевых атак».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- :имеет
- :является
- :нет
- :куда
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- злоупотребление
- доступ
- По
- действия
- активно
- активно
- деятельность
- актеры
- на самом деле
- дополнительный
- Дополнительная информация
- Добавляет
- принял
- пострадавших
- затрагивающий
- Все
- позволять
- позволяет
- причислены
- an
- анализ
- проанализированы
- и
- Другой
- апаш
- приложение
- появляется
- Применение
- Приложения
- архитектура
- МЫ
- около
- AS
- ASF
- At
- атаковать
- нападки
- попытка
- Аутентификация
- разрешение
- доступен
- Использование темпера с изогнутым основанием
- основанный
- в основном
- BE
- , так как:
- было
- принадлежащий
- между
- блокчейн
- нарушение
- Ошибка
- строить
- Строительство
- но
- by
- Кампании
- CAN
- не могу
- Вызывать
- определенный
- конечно
- Cisco
- код
- сотрудничество
- Связь
- Компании
- сравненный
- полный
- сложность
- Беспокойство
- Обеспокоенность
- Условия
- значительный
- Потребители
- содержать
- продолжается
- контроль
- может
- проработаны
- критической
- Критическая инфраструктура
- клиент
- Информационная безопасность
- опасно
- данным
- Дней
- декабрь
- десятилетия
- По умолчанию
- зависит
- описано
- застройщиков
- отличаться
- трудный
- раскрытие
- do
- приносит
- два
- легко
- включить
- включен
- позволяет
- Конечная точка
- лиц
- Equifax
- оценка
- выполнение
- эксперты
- Эксплуатировать
- эксплуатация
- Эксплуатируемый
- эксплуатации
- подвергаться
- обширный
- факт
- далеко
- несколько
- Файл
- Файлы
- Во-первых,
- недостаток
- недостатки
- плавающий
- Что касается
- Fortune
- Год основания
- Рамки
- от
- функция
- Gain
- дал
- данный
- дает
- Правительство
- большой
- Ручки
- Жесткий
- Есть
- имеющий
- he
- Скрытый
- High
- Как
- Однако
- HTML
- HTTPS
- огромный
- определения
- if
- немедленно
- реализация
- в XNUMX году
- in
- включают
- В том числе
- включать
- информация
- информационная безопасность
- Инфраструктура
- начальный
- пример
- интеграции.
- вопрос
- IT
- пункты
- ЕГО
- саму трезвость
- Java
- JPG
- известный
- большой
- Фамилия
- Вероятно
- мало
- расположение
- Создание
- вредоносных программ
- управление
- менеджер
- многих
- максимальный
- означает
- механизм
- Майк
- может быть
- миллиона
- модульный
- БОЛЕЕ
- самых
- с разными
- должен
- Возле
- Необходимость
- необходимый
- сеть
- Новые
- NIST
- нет
- отметил,
- Заметки
- сейчас
- многочисленный
- of
- on
- открытый
- с открытым исходным кодом
- or
- организации
- оригинал
- Другое
- внешний
- за
- параметр
- параметры
- особый
- мимо
- Патчи
- путь
- Выполнять
- Часть
- Планы
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- PoC
- возможное
- потенциал
- потенциально
- присутствие
- представить
- превалирующий
- предыдущий
- Продукция
- публично
- повышения
- ассортимент
- рейтинг
- легко
- последний
- недавно
- Управление по борьбе с наркотиками (DEA)
- освободить
- выпустил
- удаленные
- удаленно
- Сообщается
- запросить
- обязательный
- Требования
- исследованиям
- исследователь
- исследователи
- результат
- Снижение
- s
- Сказал
- Сэм
- то же
- говорит
- Шкала
- сканирование
- рассмотрение
- Сектора юридического права
- безопасность
- видя
- видел
- Отправить
- старший
- чувствительный
- набор
- Наборы
- значительный
- существенно
- Признаки
- с
- сайте
- So
- уже
- Software
- удалось
- Источник
- специально
- конкретный
- ошеломляющий
- стоит
- По-прежнему
- Успешно
- такие
- система
- системы
- целевое
- направлены
- технологии
- чем
- который
- Ассоциация
- Их
- тогда
- Там.
- Эти
- они
- этой
- На этой неделе
- те
- тысячи
- угроза
- актеры угрозы
- в
- тенденция
- вызвать
- два
- неразрешенный
- под
- унифицированный
- Обновление ПО
- Updates
- Загрузка
- us
- использование
- используемый
- Информация о пользователе
- через
- Вариант
- различный
- продавец
- поставщики
- версия
- версии
- с помощью
- Режимы
- уязвимость
- Уязвимый
- законопроект
- Путь..
- we
- Web
- веб приложение
- веб-приложений
- веб-сайты
- неделя
- ЧТО Ж
- Что
- Что такое
- когда
- будь то
- , которые
- КТО
- широкий
- Широкий диапазон
- широко
- широко распространена
- по всему миру
- бы
- лет
- зефирнет