Исправьте сейчас: используйте монтирование действий для опасной ошибки Apache Struts 2

Высока обеспокоенность по поводу критической, недавно обнаруженной уязвимости удаленного выполнения кода (RCE) в Apache Struts 2, которую злоумышленники активно использовали в течение последних нескольких дней.

Apache Struts — это широко используемая платформа с открытым исходным кодом для создания приложений Java. Разработчики могут использовать его для создания модульных веб-приложений на основе так называемой архитектуры Модель-Представление-Контроллер (MVC). Фонд программного обеспечения Apache (ASF) раскрыл ошибку 7 декабря и присвоил ему почти максимальную степень серьезности — 9.8 из 10 по шкале CVSS. Уязвимость, отслеживаемая как CVE-2023-50164 связано с тем, как Struts обрабатывает параметры при загрузке файлов и дает злоумышленникам возможность получить полный контроль над затронутыми системами.

Широко распространенная проблема безопасности, затрагивающая Java-приложения

Уязвимость вызвала серьезную обеспокоенность из-за ее распространенности, того факта, что она может выполняться удаленно, а также потому, что код эксплойта, подтверждающий концепцию, для нее общедоступен. С момента обнаружения уязвимости на прошлой неделе несколько поставщиков и такие организации, как Теневой сервер — сообщили об обнаружении признаков активности эксплойтов, нацеленных на уязвимость.

Сама ASF описала Apache Struts как имеющую «огромную базу пользователей», поскольку она существует уже более двух десятилетий. По оценкам экспертов по безопасности, во всем мире существуют тысячи приложений, в том числе используемых во многих компаниях и организациях из списка Fortune 500 в государственном секторе и секторах критической инфраструктуры, основанных на Apache Struts.  

Многие технологии поставщиков также включают Apache Struts 2. Cisco, например, в настоящее время расследует все продукты, которые могут быть затронуты этой ошибкой, и планирует выпускать дополнительную информацию и обновления по мере необходимости. В число продуктов, находящихся под пристальным вниманием, входят технологии управления и обеспечения сетей Cisco, продукты для голосовой связи и унифицированных коммуникаций, а также платформа для совместной работы с клиентами.

Уязвимость затрагивает версии Struts с 2.5.0 по 2.5.32 и версии Struts с 6.0.0 по 6.3.0. Эта ошибка также присутствует в версиях Struts от 2.0.0 до Struts 2.3.37, срок эксплуатации которых истек.

ASF, поставщики средств безопасности и такие организации, как Агентство кибербезопасности и информационной безопасности США (CISA) рекомендовало организациям, использующим это программное обеспечение, немедленно обновить его до версии Struts 2.5.33 или Struts 6.3.0.2 или более поздней версии. По данным ASF, никаких мер по устранению этой уязвимости не существует.

За последние годы исследователи обнаружили в Struts множество недостатков. Пожалуй, самым значимым из них был CVE-2017-5638 в 2017 году, что затронуло тысячи организаций и привело к взлому Equifax, в результате которого были раскрыты конфиденциальные данные, принадлежащие ошеломляющим 143 миллионам потребителей в США. Эта ошибка на самом деле все еще встречается — кампании, использующие только что обнаруженную Вредоносное ПО для блокчейна NKAbuse, например, используют его для первоначального доступа.

Опасная ошибка Apache Struts 2, которую сложно использовать

Исследователи из Trend Micro, которые на этой неделе проанализировали новую уязвимость Apache Struts описал это как опасное, но значительно более сложное для масштабного использования, чем ошибка 2017 года, которая представляла собой не более чем проблему сканирования и эксплойта.  

«Уязвимость CVE-2023-50164 по-прежнему широко используется широким кругом злоумышленников, которые используют эту уязвимость для выполнения вредоносных действий, что делает ее серьезной угрозой безопасности для организаций по всему миру», — заявили исследователи Trend Micro.

По сути, эта уязвимость позволяет злоумышленнику манипулировать параметрами загрузки файлов, чтобы обеспечить обход пути: «Потенциально это может привести к загрузке вредоносного файла, что позволит удаленно выполнить код», — отметили они.

Чтобы воспользоваться уязвимостью, злоумышленнику сначала необходимо просканировать и идентифицировать веб-сайты или веб-приложения, используя уязвимую версию Apache Struts, сообщил Акамай в сообщении. отчет, обобщающий анализ угрозы На этой неделе. Затем им нужно будет отправить специально созданный запрос на загрузку файла на уязвимый сайт или в веб-приложение. Запрос будет содержать скрытые команды, которые заставят уязвимую систему поместить файл в место или каталог, откуда атака может получить к нему доступ, и инициируют выполнение вредоносного кода в затронутой системе.

В веб-приложении должны быть реализованы определенные действия, позволяющие загружать вредоносные составные файлы», — говорит Сэм Тинкленберг, старший исследователь безопасности в Akamai. «Включено ли это по умолчанию, зависит от реализации Struts 2. Судя по тому, что мы видели, более вероятно, что это не включено по умолчанию».

Два варианта PoC-эксплойта для CVE-2023-50164

Akamai сообщила, что на данный момент она видела атаки, нацеленные на CVE-2023-50164, с использованием публично выпущенного PoC, а также еще один набор атак с использованием того, что, по-видимому, является вариантом исходного PoC.

«Механизм эксплойта в обоих типах атак один и тот же», — говорит Тинкленберг. «Однако различаются конечная точка и параметр, используемые при попытке эксплуатации».

Требования к злоумышленнику для успешного использования уязвимости могут существенно различаться в зависимости от реализации, добавляет Тинкленберг. К ним относится необходимость в уязвимом приложении включить функцию загрузки файлов и разрешить неаутентифицированному пользователю загружать файлы. Если уязвимое приложение не допускает несанкционированную загрузку данных пользователем, злоумышленнику потребуется пройти аутентификацию и авторизацию другими способами. По его словам, злоумышленнику также необходимо будет идентифицировать конечную точку, используя уязвимую функцию загрузки файлов.

Хотя эту уязвимость в Apache Struts, возможно, не так легко использовать в больших масштабах по сравнению с предыдущими недостатками, ее присутствие в такой широко распространенной среде, безусловно, вызывает серьезные проблемы с безопасностью, говорит Саид Аббаси, менеджер по исследованиям уязвимостей и угроз в Qualys.

«Эта конкретная уязвимость выделяется своей сложностью и особыми условиями, необходимыми для ее использования, что делает широкомасштабные атаки трудными, но возможными», — отмечает он. «Учитывая обширную интеграцию Apache Struts в различные критически важные системы, нельзя недооценивать потенциал целевых атак».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug