Vá ngay: Khai thác các hoạt động gắn kết cho lỗi nguy hiểm của Apache Struts 2

Mối lo ngại đang tăng cao về lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng được tiết lộ gần đây trong Apache Struts 2 mà những kẻ tấn công đã tích cực khai thác trong vài ngày qua.

Apache Struts là một framework mã nguồn mở được sử dụng rộng rãi để xây dựng các ứng dụng Java. Các nhà phát triển có thể sử dụng nó để xây dựng các ứng dụng Web mô-đun dựa trên kiến ​​trúc Model-View-Controller (MVC). Quỹ phần mềm Apache (ASF) tiết lộ lỗi vào ngày 7 tháng 9.8 và cho điểm mức độ nghiêm trọng gần như tối đa là 10/XNUMX trên thang điểm CVSS. Lỗ hổng, được theo dõi như CVE-2023-50164 liên quan đến cách Struts xử lý các tham số trong quá trình tải tệp lên và cung cấp cho kẻ tấn công một cách để giành quyền kiểm soát hoàn toàn các hệ thống bị ảnh hưởng.

Một vấn đề bảo mật phổ biến rộng rãi ảnh hưởng đến các ứng dụng Java

Lỗ hổng này đã gây ra mối lo ngại đáng kể vì mức độ phổ biến của nó, thực tế là nó có thể thực thi được từ xa và vì mã khai thác bằng chứng khái niệm được cung cấp công khai cho nó. Kể từ khi lỗ hổng được tiết lộ vào tuần trước, nhiều nhà cung cấp – và các tổ chức như Máy chủ bóng tối — đã báo cáo thấy các dấu hiệu của hoạt động khai thác nhắm vào lỗ hổng.

Bản thân ASF đã mô tả Apache Struts là có “cơ sở người dùng khổng lồ” vì thực tế là nó đã tồn tại hơn hai thập kỷ. Các chuyên gia bảo mật ước tính có hàng nghìn ứng dụng trên toàn thế giới — bao gồm cả những ứng dụng được sử dụng tại nhiều công ty và tổ chức Fortune 500 trong chính phủ và các lĩnh vực cơ sở hạ tầng quan trọng — dựa trên Apache Struts.  

Nhiều công nghệ của nhà cung cấp cũng kết hợp Apache Struts 2. Ví dụ như Cisco là hiện đang điều tra tất cả các sản phẩm có khả năng bị ảnh hưởng bởi lỗi này và có kế hoạch phát hành thông tin và cập nhật bổ sung khi cần. Các sản phẩm đang được giám sát chặt chẽ bao gồm công nghệ cung cấp và quản lý mạng của Cisco, các sản phẩm truyền thông hợp nhất và thoại cũng như nền tảng cộng tác khách hàng của Cisco.

Lỗ hổng này ảnh hưởng đến các phiên bản Struts 2.5.0 đến 2.5.32 và Struts phiên bản 6.0.0 đến 6.3.0. Lỗi này cũng xuất hiện trong các phiên bản Struts 2.0.0 đến Struts 2.3.37, hiện đã hết tuổi thọ.

ASF, các nhà cung cấp bảo mật và các thực thể như Cơ quan An ninh mạng và An ninh thông tin Hoa Kỳ (CISA) đã khuyến nghị các tổ chức sử dụng phần mềm nên cập nhật ngay lên Struts phiên bản 2.5.33 hoặc Struts 6.3.0.2 trở lên. Theo ASF, không có biện pháp giảm nhẹ nào cho lỗ hổng này.

Trong những năm gần đây, các nhà nghiên cứu đã phát hiện ra nhiều sai sót trong Struts. Dễ dàng quan trọng nhất trong số đó là CVE-2017-5638 vào năm 2017, đã ảnh hưởng đến hàng nghìn tổ chức và tạo điều kiện cho một vụ vi phạm tại Equifax làm lộ dữ liệu nhạy cảm của 143 triệu người tiêu dùng Hoa Kỳ. Lỗi đó thực sự vẫn còn tồn tại — các chiến dịch sử dụng tính năng vừa được phát hiện Phần mềm độc hại chuỗi khối NKAbuse, chẳng hạn, đang khai thác nó để truy cập lần đầu.

Lỗi Apache Struts 2 nguy hiểm nhưng khó khai thác

Các nhà nghiên cứu tại Trend Micro đã phân tích lỗ hổng Apache Struts mới trong tuần này mô tả nó là nguy hiểm nhưng khó hơn đáng kể để khai thác trên quy mô lớn hơn lỗi năm 2017, vốn chỉ là vấn đề quét và khai thác.  

Các nhà nghiên cứu của Trend Micro cho biết: “Lỗ hổng CVE-2023-50164 tiếp tục bị khai thác rộng rãi bởi nhiều kẻ đe dọa, lợi dụng lỗ hổng này để thực hiện các hoạt động độc hại, khiến nó trở thành rủi ro bảo mật đáng kể đối với các tổ chức trên toàn thế giới”.

Họ lưu ý rằng về cơ bản, lỗ hổng này cho phép kẻ thù thao túng các tham số tải lên tệp để cho phép truyền tải đường dẫn: “Điều này có thể dẫn đến việc tải lên một tệp độc hại, cho phép thực thi mã từ xa”.

Để khai thác lỗ hổng, trước tiên kẻ tấn công cần quét và xác định các trang web hoặc ứng dụng Web sử dụng phiên bản Apache Struts dễ bị tấn công, Akamai cho biết trong một báo cáo. báo cáo tóm tắt phân tích về mối đe dọa tuần này. Sau đó, họ sẽ cần gửi một yêu cầu được tạo đặc biệt để tải tệp lên trang web hoặc ứng dụng Web dễ bị tấn công. Yêu cầu sẽ chứa các lệnh ẩn khiến hệ thống dễ bị tấn công đặt tệp vào một vị trí hoặc thư mục mà từ đó kẻ tấn công có thể truy cập vào nó và kích hoạt việc thực thi mã độc trên hệ thống bị ảnh hưởng.

"Ứng dụng Web phải triển khai một số hành động nhất định để cho phép tải lên tệp nhiều phần độc hại”, Sam Tinklenberg, nhà nghiên cứu bảo mật cấp cao tại Akamai cho biết. “Việc tính năng này có được bật theo mặc định hay không tùy thuộc vào việc triển khai Struts 2. Dựa trên những gì chúng tôi đã thấy, nhiều khả năng đây không phải là thứ được bật theo mặc định.”

Hai biến thể khai thác PoC cho CVE-2023-50164

Akamai cho biết cho đến nay họ đã chứng kiến ​​các cuộc tấn công nhắm vào CVE-2023-50164 bằng cách sử dụng PoC được phát hành công khai và một loạt hoạt động tấn công khác sử dụng thứ dường như là một biến thể của PoC ban đầu.

Tinklenberg cho biết: “Cơ chế khai thác giống nhau giữa hai” nhóm tấn công. “Tuy nhiên, điểm khác biệt nằm ở điểm cuối và tham số được sử dụng trong nỗ lực khai thác.”

Tinklenberg cho biết thêm, các yêu cầu để kẻ tấn công khai thác thành công lỗ hổng có thể thay đổi đáng kể tùy theo quá trình triển khai. Chúng bao gồm nhu cầu một ứng dụng dễ bị tấn công phải bật chức năng tải tệp lên và cho phép ứng dụng này cho phép người dùng chưa được xác thực tải tệp lên. Nếu một ứng dụng dễ bị tấn công không cho phép người dùng tải lên trái phép, kẻ tấn công sẽ cần phải có được xác thực và ủy quyền thông qua các phương tiện khác. Ông nói: Kẻ tấn công cũng cần xác định điểm cuối bằng cách sử dụng chức năng tải lên tệp dễ bị tấn công.

Saeed Abbasi, người quản lý nghiên cứu lỗ hổng và mối đe dọa tại Qualys, cho biết mặc dù lỗ hổng này trong Apache Struts có thể không dễ dàng bị khai thác trên quy mô lớn so với các lỗ hổng trước đó, nhưng sự hiện diện của nó trong một khuôn khổ được áp dụng rộng rãi như vậy chắc chắn gây ra những lo ngại đáng kể về bảo mật.

Ông lưu ý: “Lỗ hổng đặc biệt này nổi bật do tính phức tạp và các điều kiện cụ thể cần thiết để khai thác, khiến các cuộc tấn công trên diện rộng trở nên khó khăn nhưng vẫn có thể xảy ra”. “Với sự tích hợp rộng rãi của Apache Struts trong các hệ thống quan trọng khác nhau, không thể đánh giá thấp khả năng xảy ra các cuộc tấn công có chủ đích.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cloud-security/patch-exploit-activity-dangerous-apache-struts-bug