Викликає велике занепокоєння критична нещодавно розкрита вразливість віддаленого виконання коду (RCE) в Apache Struts 2, якою зловмисники активно користуються протягом останніх кількох днів.
Apache Struts — широко використовувана структура з відкритим вихідним кодом для створення програм Java. Розробники можуть використовувати його для створення модульних веб-додатків на основі так званої архітектури Model-View-Controller (MVC). Apache Software Foundation (ASF) розкрив помилку 7 грудня та дав йому майже максимальну оцінку тяжкості 9.8 з 10 за шкалою CVSS. Вразливість, відстежена як CVE-2023-50164 має відношення до того, як Struts обробляє параметри під час завантаження файлів, і дає зловмисникам можливість отримати повний контроль над ураженими системами.
Широко поширена проблема безпеки, яка впливає на програми Java
Вада викликала значне занепокоєння через свою поширеність, той факт, що її можна виконати дистанційно, а також через те, що код експлойту для підтвердження концепції для неї є загальнодоступним. З моменту розкриття недоліку минулого тижня кілька постачальників — і такі організації, як ShadowServer — повідомили про ознаки активності експлойтів, націлених на недолік.
Сам ASF описав Apache Struts як «велику базу користувачів» через те, що він існує вже більше двох десятиліть. Експерти з безпеки підрахували, що в усьому світі існують тисячі додатків, включно з тими, що використовуються багатьма компаніями та організаціями зі списку Fortune 500 в урядових секторах і секторах критичної інфраструктури, які базуються на Apache Struts.
Багато технологій постачальників також включають Apache Struts 2. Cisco, наприклад зараз розслідує усі продукти, на які ймовірно впливає помилка, і планує видавати додаткову інформацію та оновлення, коли це буде необхідно. Продукти, які перебувають під пильною увагою, включають технології керування мережами та забезпечення Cisco, продукти голосового зв’язку та уніфікованих комунікацій, а також її платформу для співпраці з клієнтами.
Уразливість впливає на Struts версії 2.5.0–2.5.32 і Struts версії 6.0.0–6.3.0. Помилка також присутня у версіях Struts від 2.0.0 до Struts 2.3.37, термін експлуатації яких закінчився.
ASF, постачальники засобів безпеки та такі організації, як Агентство з кібербезпеки та інформаційної безпеки США (CISA) рекомендували організаціям, які використовують програмне забезпечення, негайно оновити Struts до версії 2.5.33 або Struts 6.3.0.2 або новішої. Відповідно до ASF, засоби пом’якшення цієї вразливості відсутні.
В останні роки дослідники виявили численні недоліки в Struts. Легко найзначнішим з них був CVE-2017-5638 у 2017 році, що вплинуло на тисячі організацій і стало причиною злому в Equifax, який розкрив конфіденційні дані, що належать приголомшливим 143 мільйонам споживачів у США. Насправді ця помилка досі існує — кампанії використовують щойно виявлені Шкідливе програмне забезпечення блокчейну NKAbuse, наприклад, використовують його для початкового доступу.
Небезпечна помилка Apache Struts 2, але її важко використати
Дослідники з Trend Micro, які цього тижня проаналізували нову вразливість Apache Struts описав це як небезпечне, але значно складніше використовувати в масштабах, ніж помилка 2017 року, яка була лише проблемою сканування та використання.
«Уразливість CVE-2023-50164 продовжує широко використовуватися широким колом суб’єктів загрози, які зловживають цією вразливістю для виконання зловмисних дій, що робить її значною загрозою безпеці для організацій у всьому світі», — заявили дослідники Trend Micro.
По суті, недолік дозволяє зловмиснику маніпулювати параметрами завантаження файлу, щоб увімкнути обхід шляху: «Це потенційно може призвести до завантаження шкідливого файлу, уможливлюючи віддалене виконання коду», — зазначили вони.
Щоб використати недолік, зловмиснику спочатку потрібно буде сканувати та ідентифікувати веб-сайти або веб-додатки за допомогою вразливої версії Apache Struts, повідомляє Akamai в звіт із підсумковим аналізом загрози цього тижня. Потім їм потрібно буде надіслати спеціально створений запит для завантаження файлу на вразливий сайт або веб-програму. Запит міститиме приховані команди, які змусять уразливу систему розмістити файл у місці або каталозі, звідки атака може отримати до нього доступ і запустить виконання шкідливого коду в ураженій системі.
"У веб-програмі повинні бути реалізовані певні дії, щоб увімкнути завантаження зловмисного багатокомпонентного файлу», — каже Сем Тінкленберг, старший дослідник безпеки в Akamai. «Чи це ввімкнено за замовчуванням, залежить від реалізації Struts 2. Виходячи з того, що ми бачили, більш імовірно, що це не те, що ввімкнено за замовчуванням».
Два варіанти експлойтів PoC для CVE-2023-50164
Akamai повідомила, що наразі спостерігала атаки, націлені на CVE-2023-50164 з використанням публічно оприлюдненого PoC, і інший набір атак із використанням того, що, здається, є варіантом оригінального PoC.
«Механізм експлойту є однаковим для двох» наборів атак, каже Тінкленберг. «Однак елементи, які відрізняються, — це кінцева точка та параметр, використаний у спробі експлуатації».
Вимоги до зловмисника для успішного використання вразливості можуть значно відрізнятися залежно від реалізації, додає Тінкленберг. До них відноситься необхідність у вразливій програмі ввімкнути функцію завантаження файлів і дозволити неавтентифікованому користувачеві завантажувати файли. Якщо вразливий додаток не дозволяє несанкціоноване завантаження користувачами, зловмиснику потрібно буде отримати автентифікацію та авторизацію за допомогою інших засобів. За його словами, зловмиснику також потрібно буде ідентифікувати кінцеву точку за допомогою функції завантаження вразливих файлів.
Хоча цю вразливість в Apache Struts, можливо, не так легко використовувати у великих масштабах порівняно з попередніми недоліками, її присутність у такій широко поширеній системі, безумовно, викликає серйозні проблеми з безпекою, каже Саїд Аббасі, менеджер із дослідження вразливостей і загроз у Qualys.
«Ця конкретна вразливість виділяється своєю складністю та специфічними умовами, необхідними для експлуатації, що робить широкомасштабні атаки складними, але можливими», — зазначає він. «Враховуючи широку інтеграцію Apache Struts у різноманітні критично важливі системи, не можна недооцінювати потенціал цілеспрямованих атак».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug
- : має
- :є
- : ні
- :де
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- зловживання
- доступ
- За
- дії
- активно
- діяльності
- діяльність
- актори
- насправді
- Додатковий
- Додаткова інформація
- Додає
- прийнята
- постраждалих
- зачіпає
- ВСІ
- дозволяти
- дозволяє
- Також
- an
- аналіз
- проаналізовані
- та
- Інший
- Apache
- додаток
- з'являється
- додаток
- застосування
- архітектура
- ЕСТЬ
- навколо
- AS
- ASF
- At
- атака
- нападки
- спроба
- Authentication
- авторизації
- доступний
- база
- заснований
- В основному
- BE
- оскільки
- було
- належність
- між
- blockchain
- порушення
- Помилка
- будувати
- Створюємо
- але
- by
- Кампанії
- CAN
- не може
- Викликати
- певний
- звичайно
- Cisco
- код
- співробітництво
- зв'язку
- Компанії
- порівняний
- повний
- складність
- Занепокоєння
- Турбота
- Умови
- значний
- Споживачі
- містити
- триває
- контроль
- може
- створений
- критичний
- Критична інфраструктура
- клієнт
- Кібербезпека
- Небезпечний
- дані
- Днів
- грудня
- десятиліття
- дефолт
- залежить
- описаний
- розробників
- відрізняються
- важкий
- розкриття
- do
- робить
- два
- легко
- включіть
- включений
- дозволяє
- Кінцева точка
- юридичні особи
- Equifax
- оцінити
- виконання
- experts
- Експлуатувати
- експлуатація
- експлуатований
- експлуатація
- піддаватися
- обширний
- факт
- далеко
- кілька
- філе
- Файли
- Перший
- недолік
- недоліки
- плаваючий
- для
- стан
- фонд
- Рамки
- від
- функція
- Отримувати
- дав
- даний
- дає
- Уряд
- великий
- Ручки
- Жорсткий
- Мати
- має
- he
- прихований
- Високий
- Як
- Однак
- HTML
- HTTPS
- величезний
- ідентифікувати
- if
- негайно
- реалізація
- реалізовані
- in
- включати
- У тому числі
- включати
- інформація
- інформаційна безпека
- Інфраструктура
- початковий
- екземпляр
- інтеграція
- питання
- IT
- пунктів
- ЙОГО
- сам
- Java
- JPG
- відомий
- великий
- останній
- Ймовірно
- трохи
- розташування
- Робить
- шкідливих програм
- управління
- менеджер
- багато
- максимальний
- засоби
- механізм
- мікро-
- може бути
- мільйона
- модульний
- більше
- найбільш
- множинний
- повинен
- Близько
- Необхідність
- необхідний
- мережу
- Нові
- nist
- немає
- зазначив,
- примітки
- зараз
- численний
- of
- on
- відкрити
- з відкритим вихідним кодом
- or
- організації
- оригінал
- Інше
- з
- над
- параметр
- параметри
- приватність
- Минуле
- пластир
- шлях
- Виконувати
- місце
- плани
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- PoC
- це можливо
- потенціал
- потенційно
- наявність
- представити
- поширений
- попередній
- Продукти
- публічно
- піднімається
- діапазон
- рейтинг
- легко
- останній
- нещодавно
- рекомендований
- звільнити
- випущений
- віддалений
- віддалено
- Повідомляється
- запросити
- вимагається
- Вимога
- дослідження
- дослідник
- Дослідники
- результат
- Risk
- s
- Зазначений
- Сем
- то ж
- говорить
- шкала
- сканування
- огляд
- Сектори
- безпеку
- бачачи
- бачив
- послати
- старший
- чутливий
- комплект
- набори
- значний
- істотно
- Ознаки
- з
- сайт
- So
- так далеко
- Софтвер
- що в сім'ї щось
- Source
- спеціально
- конкретний
- приголомшливий
- стенди
- Як і раніше
- Успішно
- такі
- система
- Systems
- цільове
- націлювання
- Технології
- ніж
- Що
- Команда
- Їх
- потім
- Там.
- Ці
- вони
- це
- На цьому тижні
- ті
- тисячі
- загроза
- актори загроз
- до
- Trend
- викликати
- два
- несанкціонований
- при
- єдиний
- Оновити
- Updates
- Завантаження
- us
- використання
- використовуваний
- користувач
- використання
- варіант
- різний
- продавець
- постачальники
- версія
- версії
- через
- Голос
- вразливість
- Вразливий
- було
- шлях..
- we
- Web
- Веб-додаток
- веб-додатки
- веб-сайти
- week
- ДОБРЕ
- Що
- Що таке
- коли
- Чи
- який
- ВООЗ
- широкий
- Широкий діапазон
- широко
- широко поширений
- з
- світовий
- б
- років
- зефірнет