人们对最近披露的 Apache Struts 2 中的一个关键远程代码执行 (RCE) 漏洞高度关注,攻击者在过去几天一直在积极利用该漏洞。
Apache Struts 是一种广泛使用的用于构建 Java 应用程序的开源框架。 开发人员可以使用它来构建基于模型-视图-控制器 (MVC) 架构的模块化 Web 应用程序。 阿帕奇软件基金会 (ASF) 披露了该错误 7 月 9.8 日,CVSS 评分表将其严重程度评为接近最高的 10 分(满分 XNUMX 分)。 该漏洞被追踪为 CVE-2023-50164 与 Struts 如何处理文件上传中的参数有关,并为攻击者提供了完全控制受影响系统的方法。
影响 Java 应用程序的广泛存在的安全问题
该缺陷引起了相当大的关注,因为它普遍存在,它可以远程执行,而且概念验证漏洞利用代码是公开可用的。 自上周披露该漏洞以来,多家供应商和实体(例如 影子服务器 - 已报告看到针对该缺陷的利用活动的迹象。
ASF 本身将 Apache Struts 描述为拥有“庞大的用户群”,因为它已经存在了二十多年。 安全专家估计,全球有数千个应用程序(包括许多财富 500 强公司以及政府和关键基础设施部门的组织正在使用的应用程序)基于 Apache Struts。
许多供应商技术也包含 Apache Struts 2。 以思科为例, 目前正在调查 可能受该错误影响并计划在需要时发布更多信息和更新的所有产品。 接受审查的产品包括思科的网络管理和配置技术、语音和统一通信产品及其客户协作平台。
该漏洞影响Struts版本2.5.0至2.5.32和Struts版本6.0.0至6.3.0。 该错误也存在于 Struts 版本 2.0.0 至 Struts 2.3.37 中,这些版本现已终止。
ASF、安全供应商和实体,例如 美国网络安全和信息安全局 (CISA) 建议使用该软件的组织立即更新到 Struts 版本 2.5.33 或 Struts 6.3.0.2 或更高版本。 据 ASF 称,目前尚无针对该漏洞的缓解措施。
近年来,研究人员发现了 Struts 的许多缺陷。 其中最重要的是 CVE-2017-5638 2017 年,该事件影响了数千家组织,并导致 Equifax 发生漏洞,泄露了属于数量惊人的 143 亿美国消费者的敏感数据。 这个错误实际上仍然存在——使用刚刚发现的活动 NKAbuse 区块链恶意软件, 例如,正在利用它进行初始访问。
一个危险的 Apache Struts 2 错误,但很难利用
趋势科技的研究人员本周分析了新的 Apache Struts 漏洞 将其描述为危险但相当困难的 比 2017 年的 bug 更大规模地被利用,XNUMX 年的 bug 只不过是扫描和利用问题。
趋势科技研究人员表示:“CVE-2023-50164 漏洞继续被众多威胁行为者广泛利用,他们利用此漏洞执行恶意活动,这使其对全球组织构成重大安全风险。”
该缺陷基本上允许攻击者操纵文件上传参数以实现路径遍历:“这可能会导致上传恶意文件,从而实现远程代码执行,”他们指出。
Akamai 在一份报告中表示,要利用该缺陷,攻击者首先需要使用易受攻击的 Apache Struts 版本扫描并识别网站或 Web 应用程序。 报告总结了对威胁的分析 本星期。 然后,他们需要发送特制请求,将文件上传到易受攻击的网站或 Web 应用程序。 该请求将包含隐藏命令,这些命令会导致易受攻击的系统将文件放置在攻击者可以访问该文件的位置或目录中,并触发受影响系统上的恶意代码的执行。
“Web 应用程序必须执行某些操作才能实现恶意分段文件上传。”Akamai 高级安全研究员 Sam Tinklenberg 说道。 “这是否默认启用取决于 Struts 2 的实现。根据我们所看到的情况,这更有可能不是默认启用的。”
CVE-2023-50164 的两个 PoC 漏洞利用变体
Akamai 表示,到目前为止,它已经发现使用公开发布的 PoC 进行针对 CVE-2023-50164 的攻击,以及另一组使用似乎是原始 PoC 变体的攻击活动。
Tinklenberg 说,“两组”攻击之间的利用机制是相同的。 “但是,不同之处在于攻击尝试中使用的端点和参数。”
Tinklenberg 补充道,攻击者成功利用该漏洞的要求可能因实施方式的不同而有很大差异。 其中包括需要一个易受攻击的应用程序启用文件上传功能,并允许未经身份验证的用户上传文件。 如果存在漏洞的应用程序不允许未经授权的用户上传,则攻击者需要通过其他方式获得身份验证和授权。 他说,攻击者还需要使用易受攻击的文件上传功能来识别端点。
Qualys 漏洞和威胁研究经理 Saeed Abbasi 表示,虽然 Apache Struts 中的这一漏洞可能不像之前的漏洞那样容易被大规模利用,但它在如此广泛采用的框架中的存在肯定会引起重大的安全问题。
“这个特殊的漏洞因其复杂性和利用所需的特定条件而引人注目,使得广泛的攻击变得困难但有可能,”他指出。 “鉴于 Apache Struts 在各种关键系统中的广泛集成,有针对性的攻击的可能性不容低估。”
- :具有
- :是
- :不是
- :在哪里
- 10
- 143
- 2017
- 32
- 33
- 500
- 7
- 8
- 9
- a
- 滥用
- ACCESS
- 根据
- 行动
- 积极地
- 活动
- 活动
- 演员
- 通
- 额外
- 附加信息
- 添加
- 采用
- 影响
- 影响
- 所有类型
- 让
- 允许
- 还
- an
- 分析
- 分析
- 和
- 另一个
- 阿帕奇
- 应用
- 出现
- 应用领域
- 应用领域
- 架构
- 保健
- 围绕
- AS
- ASF
- At
- 攻击
- 攻击
- 尝试
- 认证
- 授权
- 可使用
- 基地
- 基于
- 基本上
- BE
- 因为
- 很
- 属于
- 之间
- blockchain
- 违反
- 问题
- 建立
- 建筑物
- 但是
- by
- 活动
- CAN
- 不能
- 原因
- 一定
- 当然
- 思科
- 码
- 合作
- 通信
- 公司
- 相比
- 完成
- 复杂
- 关心
- 关注
- 条件
- 大量
- 消费者
- 包含
- 继续
- 控制
- 可以
- 精雕细琢
- 危急
- 关键基础设施
- 顾客
- 网络安全
- 危险的
- data
- 一年中的
- 十二月
- 几十年
- 默认
- 依靠
- 描述
- 开发
- 不同
- 难
- 泄露
- do
- 不
- 两
- 容易
- enable
- 启用
- 使
- 端点
- 实体
- Equifax公司
- 评估
- 执行
- 专家
- 利用
- 开发
- 剥削
- 利用
- 裸露
- 广泛
- 事实
- 远
- 少数
- 文件
- 档
- (名字)
- 缺陷
- 缺陷
- 漂浮的
- 针对
- 运气
- 基金会
- 骨架
- 止
- 功能
- Gain增益
- 给
- 特定
- 给
- 政府
- 更大的
- 手柄
- 硬
- 有
- 有
- he
- 老旧房屋
- 高
- 创新中心
- 但是
- HTML
- HTTPS
- 巨大
- 鉴定
- if
- 立即
- 履行
- 实施
- in
- 包括
- 包含
- 合并
- 信息
- 信息安全
- 基础设施
- 初始
- 例
- 积分
- 问题
- IT
- 项目
- 它的
- 本身
- 爪哇岛
- JPG
- 已知
- 大
- (姓氏)
- 容易
- 小
- 圖書分館的位置
- 制作
- 恶意软件
- 颠覆性技术
- 经理
- 许多
- 最多
- 手段
- 机制
- 微
- 可能
- 百万
- 模块化
- 更多
- 最先进的
- 多
- 必须
- 近
- 需求
- 打印车票
- 网络
- 全新
- NIST
- 没有
- 注意到
- 现在
- 众多
- of
- on
- 打开
- 开放源码
- or
- 组织
- 原版的
- 其他名称
- 输出
- 超过
- 参数
- 参数
- 特别
- 过去
- 打补丁
- 径
- 演出
- 地方
- 计划
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 的PoC
- 可能
- 潜力
- 可能
- 存在
- 当下
- 流行
- 以前
- 核心产品
- 公然
- 提高
- 范围
- 等级
- 容易
- 最近
- 最近
- 建议
- 释放
- 发布
- 远程
- 远程
- 报道
- 请求
- 必须
- 岗位要求
- 研究
- 研究员
- 研究人员
- 导致
- 风险
- s
- 说
- Sam
- 同
- 说
- 鳞片
- 浏览
- 审查
- 行业
- 保安
- 看到
- 看到
- 提交
- 前辈
- 敏感
- 集
- 套数
- 显著
- 显著
- 迹象
- 自
- 网站
- So
- 至今
- 软件
- 东西
- 来源
- 特别
- 具体的
- 惊人的
- 看台
- 仍
- 顺利
- 这样
- 系统
- 产品
- 针对
- 瞄准
- 技术
- 比
- 这
- 他们
- 然后
- 那里。
- 博曼
- 他们
- Free Introduction
- 本星期
- 那些
- 数千
- 威胁
- 威胁者
- 至
- 趋势
- 触发
- 二
- 擅自
- 下
- 统一
- 更新
- 最新动态
- 上传
- us
- 使用
- 用过的
- 用户
- 运用
- 变种
- 各个
- 供应商
- 厂商
- 版本
- 版本
- 通过
- 音色
- 漏洞
- 脆弱
- 是
- 方法..
- we
- 卷筒纸
- Web应用程序
- 网络应用
- 网站
- 周
- 井
- 什么是
- 什么是
- ,尤其是
- 是否
- 这
- WHO
- 宽
- 大范围
- 广泛
- 广泛
- 全世界
- 将
- 年
- 和风网