Patcha nu: Utnyttja Activity Mounts for Dangerous Apache Struts 2 Bug

Oron är stor över en kritisk, nyligen avslöjad sårbarhet för fjärrkodexekvering (RCE) i Apache Struts 2 som angripare aktivt har utnyttjat under de senaste dagarna.

Apache Struts är ett allmänt använt ramverk med öppen källkod för att bygga Java-applikationer. Utvecklare kan använda den för att bygga modulära webbapplikationer baserade på vad som kallas Model-View-Controller (MVC)-arkitekturen. Apache Software Foundation (ASF) avslöjade felet den 7 december och gav den en nästan maximal allvarlighetsgrad på 9.8 av 10 på CVSS-skalan. Sårbarheten, spåras som CVE-2023-50164 har att göra med hur Struts hanterar parametrar i filuppladdningar och ger angripare ett sätt att få fullständig kontroll över påverkade system.

Ett allmänt utbrett säkerhetsproblem som påverkar Java-appar

Felet har väckt stor oro på grund av dess utbredning, det faktum att det är fjärrkörbart och eftersom proof-of-concept exploateringskod är allmänt tillgänglig för den. Sedan avslöjandet av felet förra veckan har flera leverantörer - och enheter som t.ex ShadowServer — har rapporterat att de sett tecken på exploateringsaktivitet som riktar sig mot felet.

ASF själv har beskrivit Apache Struts som att ha en "stor användarbas" på grund av det faktum att den har funnits i mer än två decennier. Säkerhetsexperter uppskattar att det finns tusentals applikationer över hela världen – inklusive de som används på många Fortune 500-företag och organisationer inom statliga och kritiska infrastruktursektorer – som är baserade på Apache Struts.  

Många leverantörsteknologier innehåller även Apache Struts 2. Cisco är till exempel undersöker för närvarande alla produkter som troligen påverkas av buggen och planerar att släppa ytterligare information och uppdateringar vid behov. Produkter som är under granskning inkluderar Ciscos nätverkshanterings- och provisioneringsteknologier, röst- och unified communications-produkter och dess kundsamarbetsplattform.

Sårbarheten påverkar Struts version 2.5.0 till 2.5.32 och Struts version 6.0.0 till 6.3.0. Felet finns också i Struts versioner 2.0.0 till Struts 2.3.37, som nu är uttjänta.

ASF, säkerhetsleverantörer och enheter som t.ex USA:s byrå för cybersäkerhet och informationssäkerhet (CISA) har rekommenderat att organisationer som använder programvaran omedelbart uppdaterar till Struts version 2.5.33 eller Struts 6.3.0.2 eller senare. Det finns inga begränsningar tillgängliga för sårbarheten, enligt ASF.

Under de senaste åren har forskare avslöjat många brister i Struts. Den viktigaste av dem var lätt CVE-2017-5638 2017, vilket påverkade tusentals organisationer och möjliggjorde ett intrång hos Equifax som avslöjade känslig data som tillhörde häpnadsväckande 143 miljoner amerikanska konsumenter. Den buggen flyter faktiskt fortfarande runt — kampanjer som använder det nyss upptäckta NKAbuse blockchain malware, till exempel utnyttjar den för första åtkomst.

En farlig Apache Struts 2-bugg, men svår att utnyttja

Forskare på Trend Micro som analyserade den nya Apache Struts sårbarheten denna vecka beskrev det som ett farligt men betydligt svårare att utnyttja i stor skala än 2017-felet, som var lite mer än ett genomsöknings- och utnyttjandeproblem.  

"Sårbarheten CVE-2023-50164 fortsätter att utnyttjas brett av ett brett spektrum av hotaktörer som missbrukar denna sårbarhet för att utföra skadliga aktiviteter, vilket gör den till en betydande säkerhetsrisk för organisationer över hela världen," sa Trend Micro-forskare.

Defekten tillåter i princip en motståndare att manipulera filuppladdningsparametrar för att möjliggöra vägkorsning: "Detta kan potentiellt resultera i uppladdning av en skadlig fil, vilket möjliggör fjärrexekvering av kod," noterade de.

För att utnyttja felet skulle en angripare först behöva skanna efter och identifiera webbplatser eller webbapplikationer med en sårbar Apache Struts-version, sa Akamai i en rapport som sammanfattar sin analys av hotet Denna vecka. De skulle då behöva skicka en specialgjord begäran om att ladda upp en fil till den sårbara webbplatsen eller webbappen. Begäran skulle innehålla dolda kommandon som skulle få det sårbara systemet att placera filen på en plats eller katalog varifrån attacken kunde komma åt den och utlösa exekvering av skadlig kod på det drabbade systemet.

"Webbapplikationen måste ha vissa åtgärder implementerade för att möjliggöra den skadliga flerdelade filuppladdningen, säger Sam Tinklenberg, senior säkerhetsforskare på Akamai. "Om detta är aktiverat som standard beror på implementeringen av Struts 2. Baserat på vad vi har sett är det mer troligt att detta inte är något som är aktiverat som standard."

Två PoC Exploit-varianter för CVE-2023-50164

Akamai sa att det hittills har sett attacker riktade mot CVE-2023-50164 med den offentligt släppta PoC, och en annan uppsättning attackaktivitet med vad som verkar vara en variant av den ursprungliga PoC.

"Exploatmekanismen är densamma mellan de två" uppsättningarna av attacker, säger Tinklenberg. "Men de artiklar som skiljer sig är slutpunkten och parametern som används i exploateringsförsöket."

Kraven på att en angripare ska lyckas utnyttja sårbarheten kan variera avsevärt beroende på implementering, tillägger Tinklenberg. Dessa inkluderar behovet av att en sårbar app har filuppladdningsfunktionen aktiverad och att den tillåter en oautentiserad användare att ladda upp filer. Om en sårbar app inte tillåter obehöriga användaruppladdningar, skulle angriparen behöva få autentisering och auktorisering på andra sätt. Angriparen skulle också behöva identifiera slutpunkten med den sårbara filuppladdningsfunktionen, säger han.

Även om denna sårbarhet i Apache Struts kanske inte är lika lätt att exploatera i stor skala jämfört med tidigare brister, väcker dess närvaro i ett så allmänt antaget ramverk verkligen betydande säkerhetsproblem, säger Saeed Abbasi, chef för sårbarhets- och hotforskning på Qualys.

"Denna speciella sårbarhet sticker ut på grund av dess komplexitet och de specifika villkor som krävs för exploatering, vilket gör utbredda attacker svåra men möjliga", noterar han. "Med tanke på Apache Struts omfattande integration i olika kritiska system kan potentialen för riktade attacker inte underskattas."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug