Velika je zaskrbljenost zaradi kritične, nedavno razkrite ranljivosti oddaljenega izvajanja kode (RCE) v Apache Struts 2, ki so jo napadalci aktivno izkoriščali v zadnjih nekaj dneh.
Apache Struts je široko uporabljeno odprtokodno ogrodje za izdelavo aplikacij Java. Razvijalci ga lahko uporabljajo za izdelavo modularnih spletnih aplikacij, ki temeljijo na tako imenovani arhitekturi Model-View-Controller (MVC). The Apache Software Foundation (ASF) razkril napako 7. decembra in ji dal skoraj največjo oceno resnosti 9.8 od 10 na lestvici CVSS. Ranljivost, sledena kot CVE-2023-50164 ima opraviti s tem, kako Struts obravnava parametre pri nalaganju datotek in daje napadalcem možnost, da pridobijo popoln nadzor nad prizadetimi sistemi.
Zelo razširjena varnostna težava, ki vpliva na aplikacije Java
Napaka je vzbudila veliko zaskrbljenosti zaradi svoje razširjenosti, dejstva, da jo je mogoče izvesti na daljavo, in ker je koda za dokaz koncepta zanjo javno dostopna. Od razkritja napake prejšnji teden je več prodajalcev — in subjektov, kot je npr ShadowServer — so poročali o znakih izkoriščanja, usmerjenega v napako.
The ASF itself has described Apache Struts as having a “huge user base,” because of the fact that it has been around for more than two decades. Security experts estimate there are thousands of applications worldwide — including those in use at many Fortune 500 companies and organizations in government and critical infrastructure sectors — that are based on Apache Struts.
Veliko tehnologij proizvajalcev vključuje tudi Apache Struts 2. Cisco je na primer trenutno preiskuje all products that are likely affected by the bug and plans to release additional information and updates when needed. Products that are under scrutiny include Cisco’s network management and provisioning technologies, voice and unified communications products and its customer collaboration platform.
Ranljivost vpliva na različice Struts od 2.5.0 do 2.5.32 in različice Struts od 6.0.0 do 6.3.0. Napaka je prisotna tudi v različicah Struts 2.0.0 do Struts 2.3.37, ki so zdaj potekle.
ASF, prodajalci varnosti in subjekti, kot je Agencija ZDA za kibernetsko in informacijsko varnost (CISA) priporoča, da organizacije, ki uporabljajo programsko opremo, takoj posodobijo na Struts različico 2.5.33 ali Struts 6.3.0.2 ali novejšo. Glede na ASF ni na voljo nobenih ublažitev za ranljivost.
V zadnjih letih so raziskovalci v Strutsu odkrili številne pomanjkljivosti. Najpomembnejši med njimi je bil CVE-2017-5638 leta 2017, kar je prizadelo na tisoče organizacij in omogočilo vdor v Equifax, ki je razkril občutljive podatke, ki pripadajo osupljivim 143 milijonom ameriških potrošnikov. Ta hrošč pravzaprav še vedno plava naokoli – kampanje, ki uporabljajo pravkar odkrito zlonamerna programska oprema verige blokov NKAbuse, ga na primer izkoriščajo za začetni dostop.
Nevarna napaka Apache Struts 2, ki pa jo je težko izkoristiti
Raziskovalci pri Trend Micro, ki so ta teden analizirali novo ranljivost Apache Struts opisala kot nevarno, a precej težje izkoriščati v velikem obsegu kot hrošč iz leta 2017, ki je bil komaj kaj več kot vprašanje skeniranja in izkoriščanja.
“The CVE-2023-50164 vulnerability continues to be widely exploited by a wide range of threat actors who abuse this vulnerability to perform malicious activities, making it a significant security risk to organizations worldwide,” Trend Micro researchers said.
The flaw basically allows an adversary to manipulate file upload parameters to enable path traversal: “This could potentially result in the uploading of a malicious file, enabling remote code execution,” they noted.
Da bi izkoristil napako, bi moral napadalec najprej pregledati in prepoznati spletna mesta ali spletne aplikacije z uporabo ranljive različice Apache Struts, je dejal Akamai v poročilo, ki povzema svojo analizo grožnje ta teden. Nato bi morali poslati posebej oblikovano zahtevo za nalaganje datoteke na ranljivo mesto ali spletno aplikacijo. Zahteva bi vsebovala skrite ukaze, ki bi povzročili, da ranljivi sistem datoteko postavi na lokacijo ali imenik, od koder bi napad lahko dostopal do nje in sprožil izvajanje zlonamerne kode v prizadetem sistemu.
"The Web application must have certain actions implemented to enable the malicious multipart file upload,” says Sam Tinklenberg, senior security researcher at Akamai. “Whether this is enabled by default depends on the implementation of Struts 2. Based on what we have seen, it is more likely this is not something enabled by default.”
Dve različici izkoriščanja PoC za CVE-2023-50164
Akamai je dejal, da je do zdaj opazil napade, ki ciljajo na CVE-2023-50164 z uporabo javno objavljenega PoC, in še en niz napadov, ki uporabljajo nekaj, kar se zdi različica prvotnega PoC.
“The exploit mechanism is the same between the two” sets of attacks, Tinklenberg says. “However, the items which differ are the endpoint and parameter used in the exploitation attempt.”
Zahteve za napadalca, da uspešno izkoristi ranljivost, se lahko močno razlikujejo glede na izvedbo, dodaja Tinklenberg. Ti vključujejo potrebo, da ima ranljiva aplikacija omogočeno funkcijo nalaganja datotek in da uporabniku brez pristnosti omogoči nalaganje datotek. Če ranljiva aplikacija ne dovoljuje nalaganja nepooblaščenih uporabnikov, bi moral napadalec pridobiti avtentikacijo in avtorizacijo na drug način. Napadalec bi moral tudi identificirati končno točko z uporabo funkcije za nalaganje ranljivih datotek, pravi.
Medtem ko te ranljivosti v Apache Struts morda ni tako enostavno izkoristiti v velikem obsegu v primerjavi s prejšnjimi napakami, njena prisotnost v tako široko sprejetem okviru zagotovo vzbuja resne varnostne pomisleke, pravi Saeed Abbasi, vodja raziskav ranljivosti in groženj pri Qualysu.
“This particular vulnerability stands out due to its complexity and the specific conditions required for exploitation, making widespread attacks difficult but possible,” he notes. “Given Apache Struts’ extensive integration in various critical systems, the potential for targeted attacks cannot be underestimated.”
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- :ima
- : je
- :ne
- :kje
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- zloraba
- dostop
- Po
- dejavnosti
- aktivno
- dejavnosti
- dejavnost
- akterji
- dejansko
- Dodatne
- Dodatne informacije
- Dodaja
- sprejet
- vplivajo
- vplivajo
- vsi
- omogočajo
- omogoča
- Prav tako
- an
- Analiza
- analizirati
- in
- Še ena
- Apache
- aplikacija
- se prikaže
- uporaba
- aplikacije
- Arhitektura
- SE
- okoli
- AS
- ASF
- At
- napad
- Napadi
- poskus
- Preverjanje pristnosti
- pooblastilo
- Na voljo
- baza
- temeljijo
- V bistvu
- BE
- ker
- bilo
- pripadnosti
- med
- blockchain
- kršitev
- Bug
- izgradnjo
- Building
- vendar
- by
- Kampanje
- CAN
- ne more
- Vzrok
- nekatere
- Zagotovo
- Cisco
- Koda
- sodelovanje
- Communications
- Podjetja
- v primerjavi z letom
- dokončanje
- kompleksnost
- Skrb
- Skrbi
- Pogoji
- velika
- Potrošniki
- vsebujejo
- se nadaljuje
- nadzor
- bi
- izdelana
- kritično
- Kritična infrastruktura
- stranka
- Cybersecurity
- Nevarno
- datum
- Dnevi
- december
- desetletja
- privzeto
- odvisno
- opisano
- Razvijalci
- se razlikujejo
- težko
- razkritje
- do
- ne
- 2
- enostavno
- omogočajo
- omogočena
- omogočanje
- Končna točka
- subjekti
- Equifax
- oceniti
- izvedba
- Strokovnjaki
- Izkoristite
- izkoriščanje
- Exploited
- izkoriščanje
- izpostavljena
- obsežen
- Dejstvo
- daleč
- Nekaj
- file
- datoteke
- prva
- napaka
- napake
- plavajoči
- za
- Fortune
- Fundacija
- Okvirni
- iz
- funkcija
- Gain
- dal
- dana
- daje
- vlada
- več
- Ročaji
- Trdi
- Imajo
- ob
- he
- skrita
- visoka
- Kako
- Vendar
- HTML
- HTTPS
- velika
- identificirati
- if
- takoj
- Izvajanje
- izvajali
- in
- vključujejo
- Vključno
- vključi
- Podatki
- varnost informacij
- Infrastruktura
- začetna
- primer
- integracija
- vprašanje
- IT
- Izdelkov
- ITS
- sam
- Java
- jpg
- znano
- velika
- Zadnja
- Verjeten
- malo
- kraj aktivnosti
- Izdelava
- zlonamerna programska oprema
- upravljanje
- upravitelj
- več
- največja
- pomeni
- Mehanizem
- mikro
- morda
- milijonov
- Modularna
- več
- Najbolj
- več
- morajo
- Blizu
- Nimate
- potrebna
- mreža
- Novo
- nst
- št
- opozoriti
- Opombe
- zdaj
- številne
- of
- on
- odprite
- open source
- or
- organizacije
- izvirno
- Ostalo
- ven
- več
- parameter
- parametri
- zlasti
- preteklosti
- Patch
- pot
- Izvedite
- Kraj
- načrti
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- PoC
- mogoče
- potencial
- potencialno
- Prisotnost
- predstaviti
- prevladujoč
- prejšnja
- Izdelki
- javno
- povečuje
- območje
- ocena
- zlahka
- nedavno
- Pred kratkim
- priporočeno
- sprostitev
- sprosti
- daljinsko
- daljavo
- Prijavljeno
- zahteva
- obvezna
- Zahteve
- Raziskave
- raziskovalec
- raziskovalci
- povzroči
- Tveganje
- s
- Je dejal
- sam
- Enako
- pravi
- Lestvica
- skeniranje
- pregled
- Sektorji
- varnost
- videnje
- videl
- pošljite
- višji
- občutljiva
- nastavite
- Kompleti
- pomemben
- bistveno
- Znaki
- saj
- spletna stran
- So
- doslej
- Software
- Nekaj
- vir
- posebej
- specifična
- osupli
- stojala
- Še vedno
- Uspešno
- taka
- sistem
- sistemi
- ciljno
- ciljanje
- Tehnologije
- kot
- da
- O
- Njih
- POTEM
- Tukaj.
- te
- jih
- ta
- ta teden
- tisti,
- tisoče
- Grožnja
- akterji groženj
- do
- Trend
- sprožijo
- dva
- nepooblaščeno
- pod
- poenoteno
- Nadgradnja
- posodobitve
- Prenos
- us
- uporaba
- Rabljeni
- uporabnik
- uporabo
- Variant
- različnih
- Prodajalec
- prodajalci
- različica
- različice
- preko
- Voice
- ranljivost
- Ranljivi
- je
- način..
- we
- web
- Spletna aplikacija
- spletne aplikacije
- spletne strani
- teden
- Dobro
- Kaj
- Kaj je
- kdaj
- ali
- ki
- WHO
- široka
- Širok spekter
- pogosto
- razširjen
- z
- po vsem svetu
- bi
- let
- zefirnet
