Виправте зараз: кріплення експлойтів для помилки Dangerous Apache Struts 2

Викликає велике занепокоєння критична нещодавно розкрита вразливість віддаленого виконання коду (RCE) в Apache Struts 2, якою зловмисники активно користуються протягом останніх кількох днів.

Apache Struts — широко використовувана структура з відкритим вихідним кодом для створення програм Java. Розробники можуть використовувати його для створення модульних веб-додатків на основі так званої архітектури Model-View-Controller (MVC). Apache Software Foundation (ASF) розкрив помилку 7 грудня та дав йому майже максимальну оцінку тяжкості 9.8 з 10 за шкалою CVSS. Вразливість, відстежена як CVE-2023-50164 має відношення до того, як Struts обробляє параметри під час завантаження файлів, і дає зловмисникам можливість отримати повний контроль над ураженими системами.

Широко поширена проблема безпеки, яка впливає на програми Java

Вада викликала значне занепокоєння через свою поширеність, той факт, що її можна виконати дистанційно, а також через те, що код експлойту для підтвердження концепції для неї є загальнодоступним. З моменту розкриття недоліку минулого тижня кілька постачальників — і такі організації, як ShadowServer — повідомили про ознаки активності експлойтів, націлених на недолік.

Сам ASF описав Apache Struts як «велику базу користувачів» через те, що він існує вже більше двох десятиліть. Експерти з безпеки підрахували, що в усьому світі існують тисячі додатків, включно з тими, що використовуються багатьма компаніями та організаціями зі списку Fortune 500 в урядових секторах і секторах критичної інфраструктури, які базуються на Apache Struts.  

Багато технологій постачальників також включають Apache Struts 2. Cisco, наприклад зараз розслідує усі продукти, на які ймовірно впливає помилка, і планує видавати додаткову інформацію та оновлення, коли це буде необхідно. Продукти, які перебувають під пильною увагою, включають технології керування мережами та забезпечення Cisco, продукти голосового зв’язку та уніфікованих комунікацій, а також її платформу для співпраці з клієнтами.

Уразливість впливає на Struts версії 2.5.0–2.5.32 і Struts версії 6.0.0–6.3.0. Помилка також присутня у версіях Struts від 2.0.0 до Struts 2.3.37, термін експлуатації яких закінчився.

ASF, постачальники засобів безпеки та такі організації, як Агентство з кібербезпеки та інформаційної безпеки США (CISA) рекомендували організаціям, які використовують програмне забезпечення, негайно оновити Struts до версії 2.5.33 або Struts 6.3.0.2 або новішої. Відповідно до ASF, засоби пом’якшення цієї вразливості відсутні.

В останні роки дослідники виявили численні недоліки в Struts. Легко найзначнішим з них був CVE-2017-5638 у 2017 році, що вплинуло на тисячі організацій і стало причиною злому в Equifax, який розкрив конфіденційні дані, що належать приголомшливим 143 мільйонам споживачів у США. Насправді ця помилка досі існує — кампанії використовують щойно виявлені Шкідливе програмне забезпечення блокчейну NKAbuse, наприклад, використовують його для початкового доступу.

Небезпечна помилка Apache Struts 2, але її важко використати

Дослідники з Trend Micro, які цього тижня проаналізували нову вразливість Apache Struts описав це як небезпечне, але значно складніше використовувати в масштабах, ніж помилка 2017 року, яка була лише проблемою сканування та використання.  

«Уразливість CVE-2023-50164 продовжує широко використовуватися широким колом суб’єктів загрози, які зловживають цією вразливістю для виконання зловмисних дій, що робить її значною загрозою безпеці для організацій у всьому світі», — заявили дослідники Trend Micro.

По суті, недолік дозволяє зловмиснику маніпулювати параметрами завантаження файлу, щоб увімкнути обхід шляху: «Це потенційно може призвести до завантаження шкідливого файлу, уможливлюючи віддалене виконання коду», — зазначили вони.

Щоб використати недолік, зловмиснику спочатку потрібно буде сканувати та ідентифікувати веб-сайти або веб-додатки за допомогою вразливої ​​версії Apache Struts, повідомляє Akamai в звіт із підсумковим аналізом загрози цього тижня. Потім їм потрібно буде надіслати спеціально створений запит для завантаження файлу на вразливий сайт або веб-програму. Запит міститиме приховані команди, які змусять уразливу систему розмістити файл у місці або каталозі, звідки атака може отримати до нього доступ і запустить виконання шкідливого коду в ураженій системі.

"У веб-програмі повинні бути реалізовані певні дії, щоб увімкнути завантаження зловмисного багатокомпонентного файлу», — каже Сем Тінкленберг, старший дослідник безпеки в Akamai. «Чи це ввімкнено за замовчуванням, залежить від реалізації Struts 2. Виходячи з того, що ми бачили, більш імовірно, що це не те, що ввімкнено за замовчуванням».

Два варіанти експлойтів PoC для CVE-2023-50164

Akamai повідомила, що наразі спостерігала атаки, націлені на CVE-2023-50164 з використанням публічно оприлюдненого PoC, і інший набір атак із використанням того, що, здається, є варіантом оригінального PoC.

«Механізм експлойту є однаковим для двох» наборів атак, каже Тінкленберг. «Однак елементи, які відрізняються, — це кінцева точка та параметр, використаний у спробі експлуатації».

Вимоги до зловмисника для успішного використання вразливості можуть значно відрізнятися залежно від реалізації, додає Тінкленберг. До них відноситься необхідність у вразливій програмі ввімкнути функцію завантаження файлів і дозволити неавтентифікованому користувачеві завантажувати файли. Якщо вразливий додаток не дозволяє несанкціоноване завантаження користувачами, зловмиснику потрібно буде отримати автентифікацію та авторизацію за допомогою інших засобів. За його словами, зловмиснику також потрібно буде ідентифікувати кінцеву точку за допомогою функції завантаження вразливих файлів.

Хоча цю вразливість в Apache Struts, можливо, не так легко використовувати у великих масштабах порівняно з попередніми недоліками, її присутність у такій широко поширеній системі, безумовно, викликає серйозні проблеми з безпекою, каже Саїд Аббасі, менеджер із дослідження вразливостей і загроз у Qualys.

«Ця конкретна вразливість виділяється своєю складністю та специфічними умовами, необхідними для експлуатації, що робить широкомасштабні атаки складними, але можливими», — зазначає він. «Враховуючи широку інтеграцію Apache Struts у різноманітні критично важливі системи, не можна недооцінювати потенціал цілеспрямованих атак».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug