Velika je zaskrbljenost zaradi kritične, nedavno razkrite ranljivosti oddaljenega izvajanja kode (RCE) v Apache Struts 2, ki so jo napadalci aktivno izkoriščali v zadnjih nekaj dneh.
Apache Struts je široko uporabljeno odprtokodno ogrodje za izdelavo aplikacij Java. Razvijalci ga lahko uporabljajo za izdelavo modularnih spletnih aplikacij, ki temeljijo na tako imenovani arhitekturi Model-View-Controller (MVC). The Apache Software Foundation (ASF) razkril napako 7. decembra in ji dal skoraj največjo oceno resnosti 9.8 od 10 na lestvici CVSS. Ranljivost, sledena kot CVE-2023-50164 ima opraviti s tem, kako Struts obravnava parametre pri nalaganju datotek in daje napadalcem možnost, da pridobijo popoln nadzor nad prizadetimi sistemi.
Zelo razširjena varnostna težava, ki vpliva na aplikacije Java
Napaka je vzbudila veliko zaskrbljenosti zaradi svoje razširjenosti, dejstva, da jo je mogoče izvesti na daljavo, in ker je koda za dokaz koncepta zanjo javno dostopna. Od razkritja napake prejšnji teden je več prodajalcev — in subjektov, kot je npr ShadowServer — so poročali o znakih izkoriščanja, usmerjenega v napako.
Sam ASF je opisal Apache Struts kot »ogromno bazo uporabnikov« zaradi dejstva, da obstaja že več kot dve desetletji. Varnostni strokovnjaki ocenjujejo, da obstaja na tisoče aplikacij po vsem svetu – vključno s tistimi, ki jih uporabljajo številna podjetja in organizacije s seznama Fortune 500 v vladnih in kritičnih infrastrukturnih sektorjih – ki temeljijo na Apache Struts.
Veliko tehnologij proizvajalcev vključuje tudi Apache Struts 2. Cisco je na primer trenutno preiskuje vse izdelke, na katere verjetno vpliva napaka, in načrtuje objavo dodatnih informacij in posodobitev, ko bodo potrebne. Izdelki, ki so pod drobnogledom, vključujejo Ciscove tehnologije za upravljanje in zagotavljanje omrežij, glasovne in enotne komunikacijske izdelke ter njegovo platformo za sodelovanje s strankami.
Ranljivost vpliva na različice Struts od 2.5.0 do 2.5.32 in različice Struts od 6.0.0 do 6.3.0. Napaka je prisotna tudi v različicah Struts 2.0.0 do Struts 2.3.37, ki so zdaj potekle.
ASF, prodajalci varnosti in subjekti, kot je Agencija ZDA za kibernetsko in informacijsko varnost (CISA) priporoča, da organizacije, ki uporabljajo programsko opremo, takoj posodobijo na Struts različico 2.5.33 ali Struts 6.3.0.2 ali novejšo. Glede na ASF ni na voljo nobenih ublažitev za ranljivost.
V zadnjih letih so raziskovalci v Strutsu odkrili številne pomanjkljivosti. Najpomembnejši med njimi je bil CVE-2017-5638 leta 2017, kar je prizadelo na tisoče organizacij in omogočilo vdor v Equifax, ki je razkril občutljive podatke, ki pripadajo osupljivim 143 milijonom ameriških potrošnikov. Ta hrošč pravzaprav še vedno plava naokoli – kampanje, ki uporabljajo pravkar odkrito zlonamerna programska oprema verige blokov NKAbuse, ga na primer izkoriščajo za začetni dostop.
Nevarna napaka Apache Struts 2, ki pa jo je težko izkoristiti
Raziskovalci pri Trend Micro, ki so ta teden analizirali novo ranljivost Apache Struts opisala kot nevarno, a precej težje izkoriščati v velikem obsegu kot hrošč iz leta 2017, ki je bil komaj kaj več kot vprašanje skeniranja in izkoriščanja.
"Ranljivost CVE-2023-50164 še naprej široko izkorišča širok nabor akterjev groženj, ki to ranljivost zlorabljajo za izvajanje zlonamernih dejavnosti, zaradi česar predstavlja veliko varnostno tveganje za organizacije po vsem svetu," so povedali raziskovalci Trend Micro.
Napaka v bistvu dovoljuje nasprotniku, da manipulira s parametri nalaganja datotek, da omogoči prečkanje poti: "To bi lahko povzročilo nalaganje zlonamerne datoteke, ki omogoča oddaljeno izvajanje kode," so opozorili.
Da bi izkoristil napako, bi moral napadalec najprej pregledati in prepoznati spletna mesta ali spletne aplikacije z uporabo ranljive različice Apache Struts, je dejal Akamai v poročilo, ki povzema svojo analizo grožnje ta teden. Nato bi morali poslati posebej oblikovano zahtevo za nalaganje datoteke na ranljivo mesto ali spletno aplikacijo. Zahteva bi vsebovala skrite ukaze, ki bi povzročili, da ranljivi sistem datoteko postavi na lokacijo ali imenik, od koder bi napad lahko dostopal do nje in sprožil izvajanje zlonamerne kode v prizadetem sistemu.
"Spletna aplikacija mora imeti implementirana določena dejanja, da omogoči nalaganje zlonamerne večdelne datoteke,« pravi Sam Tinklenberg, višji varnostni raziskovalec pri Akamaiju. "Ali je to privzeto omogočeno, je odvisno od implementacije Struts 2. Glede na to, kar smo videli, je bolj verjetno, da to ni nekaj privzeto omogočeno."
Dve različici izkoriščanja PoC za CVE-2023-50164
Akamai je dejal, da je do zdaj opazil napade, ki ciljajo na CVE-2023-50164 z uporabo javno objavljenega PoC, in še en niz napadov, ki uporabljajo nekaj, kar se zdi različica prvotnega PoC.
"Mehanizem izkoriščanja je med obema" nizoma napadov enak, pravi Tinklenberg. "Vendar pa sta elementa, ki se razlikujeta, končna točka in parameter, uporabljen pri poskusu izkoriščanja."
Zahteve za napadalca, da uspešno izkoristi ranljivost, se lahko močno razlikujejo glede na izvedbo, dodaja Tinklenberg. Ti vključujejo potrebo, da ima ranljiva aplikacija omogočeno funkcijo nalaganja datotek in da uporabniku brez pristnosti omogoči nalaganje datotek. Če ranljiva aplikacija ne dovoljuje nalaganja nepooblaščenih uporabnikov, bi moral napadalec pridobiti avtentikacijo in avtorizacijo na drug način. Napadalec bi moral tudi identificirati končno točko z uporabo funkcije za nalaganje ranljivih datotek, pravi.
Medtem ko te ranljivosti v Apache Struts morda ni tako enostavno izkoristiti v velikem obsegu v primerjavi s prejšnjimi napakami, njena prisotnost v tako široko sprejetem okviru zagotovo vzbuja resne varnostne pomisleke, pravi Saeed Abbasi, vodja raziskav ranljivosti in groženj pri Qualysu.
"Ta posebna ranljivost izstopa zaradi svoje zapletenosti in posebnih pogojev, potrebnih za izkoriščanje, zaradi česar so razširjeni napadi težki, a možni," ugotavlja. "Glede na obsežno integracijo Apache Struts v različne kritične sisteme ni mogoče podcenjevati možnosti za ciljne napade."
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- :ima
- : je
- :ne
- :kje
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- zloraba
- dostop
- Po
- dejavnosti
- aktivno
- dejavnosti
- dejavnost
- akterji
- dejansko
- Dodatne
- Dodatne informacije
- Dodaja
- sprejet
- vplivajo
- vplivajo
- vsi
- omogočajo
- omogoča
- Prav tako
- an
- Analiza
- analizirati
- in
- Še ena
- Apache
- aplikacija
- se prikaže
- uporaba
- aplikacije
- Arhitektura
- SE
- okoli
- AS
- ASF
- At
- napad
- Napadi
- poskus
- Preverjanje pristnosti
- pooblastilo
- Na voljo
- baza
- temeljijo
- V bistvu
- BE
- ker
- bilo
- pripadnosti
- med
- blockchain
- kršitev
- Bug
- izgradnjo
- Building
- vendar
- by
- Kampanje
- CAN
- ne more
- Vzrok
- nekatere
- Zagotovo
- Cisco
- Koda
- sodelovanje
- Communications
- Podjetja
- v primerjavi z letom
- dokončanje
- kompleksnost
- Skrb
- Skrbi
- Pogoji
- velika
- Potrošniki
- vsebujejo
- se nadaljuje
- nadzor
- bi
- izdelana
- kritično
- Kritična infrastruktura
- stranka
- Cybersecurity
- Nevarno
- datum
- Dnevi
- december
- desetletja
- privzeto
- odvisno
- opisano
- Razvijalci
- se razlikujejo
- težko
- razkritje
- do
- ne
- 2
- enostavno
- omogočajo
- omogočena
- omogočanje
- Končna točka
- subjekti
- Equifax
- oceniti
- izvedba
- Strokovnjaki
- Izkoristite
- izkoriščanje
- Exploited
- izkoriščanje
- izpostavljena
- obsežen
- Dejstvo
- daleč
- Nekaj
- file
- datoteke
- prva
- napaka
- napake
- plavajoči
- za
- Fortune
- Fundacija
- Okvirni
- iz
- funkcija
- Gain
- dal
- dana
- daje
- vlada
- več
- Ročaji
- Trdi
- Imajo
- ob
- he
- skrita
- visoka
- Kako
- Vendar
- HTML
- HTTPS
- velika
- identificirati
- if
- takoj
- Izvajanje
- izvajali
- in
- vključujejo
- Vključno
- vključi
- Podatki
- varnost informacij
- Infrastruktura
- začetna
- primer
- integracija
- vprašanje
- IT
- Izdelkov
- ITS
- sam
- Java
- jpg
- znano
- velika
- Zadnja
- Verjeten
- malo
- kraj aktivnosti
- Izdelava
- zlonamerna programska oprema
- upravljanje
- upravitelj
- več
- največja
- pomeni
- Mehanizem
- mikro
- morda
- milijonov
- Modularna
- več
- Najbolj
- več
- morajo
- Blizu
- Nimate
- potrebna
- mreža
- Novo
- nst
- št
- opozoriti
- Opombe
- zdaj
- številne
- of
- on
- odprite
- open source
- or
- organizacije
- izvirno
- Ostalo
- ven
- več
- parameter
- parametri
- zlasti
- preteklosti
- Patch
- pot
- Izvedite
- Kraj
- načrti
- platforma
- platon
- Platonova podatkovna inteligenca
- PlatoData
- PoC
- mogoče
- potencial
- potencialno
- Prisotnost
- predstaviti
- prevladujoč
- prejšnja
- Izdelki
- javno
- povečuje
- območje
- ocena
- zlahka
- nedavno
- Pred kratkim
- priporočeno
- sprostitev
- sprosti
- daljinsko
- daljavo
- Prijavljeno
- zahteva
- obvezna
- Zahteve
- Raziskave
- raziskovalec
- raziskovalci
- povzroči
- Tveganje
- s
- Je dejal
- sam
- Enako
- pravi
- Lestvica
- skeniranje
- pregled
- Sektorji
- varnost
- videnje
- videl
- pošljite
- višji
- občutljiva
- nastavite
- Kompleti
- pomemben
- bistveno
- Znaki
- saj
- spletna stran
- So
- doslej
- Software
- Nekaj
- vir
- posebej
- specifična
- osupli
- stojala
- Še vedno
- Uspešno
- taka
- sistem
- sistemi
- ciljno
- ciljanje
- Tehnologije
- kot
- da
- O
- Njih
- POTEM
- Tukaj.
- te
- jih
- ta
- ta teden
- tisti,
- tisoče
- Grožnja
- akterji groženj
- do
- Trend
- sprožijo
- dva
- nepooblaščeno
- pod
- poenoteno
- Nadgradnja
- posodobitve
- Prenos
- us
- uporaba
- Rabljeni
- uporabnik
- uporabo
- Variant
- različnih
- Prodajalec
- prodajalci
- različica
- različice
- preko
- Voice
- ranljivost
- Ranljivi
- je
- način..
- we
- web
- Spletna aplikacija
- spletne aplikacije
- spletne strani
- teden
- Dobro
- Kaj
- Kaj je
- kdaj
- ali
- ki
- WHO
- široka
- Širok spekter
- pogosto
- razširjen
- z
- po vsem svetu
- bi
- let
- zefirnet
