O vulnerabilitate critică recent remediată în Apache Struts 2, urmărită sub numele CVE-2024-53677, este activ exploatată folosind exploituri publice de tip proof-of-concept pentru a găsi dispozitive vulnerabile.
Apache Struts este un cadru open-source pentru construirea aplicațiilor web bazate pe Java utilizat de diverse organizații, inclusiv agenții guvernamentale, platforme de comerț electronic, instituții financiare și companii aeriene.
Apache a făcut publică vulnerabilitatea Struts CVE-2024-53677 (CVSS 4.0 scor: 9.5, „critică”) acum șase zile, declarând că este o problemă în logică de încărcare a fișierelor din software, permițând traversarea căilor și încărcarea de fișiere maligne care ar putea duce la executare de cod la distanță.
Aceasta afectează versiunile Struts 2.0.0 până la 2.3.37 (end-of-life), 2.5.0 până la 2.5.33 și 6.0.0 până la 6.3.0.2.
„Un atacator poate manipula parametrii de încărcare a fișierelor pentru a permite traversarea căilor și, în anumite circumstanțe, acest lucru poate duce la încărcarea unui fișier malițios care poate fi folosit pentru a efectua executare de cod la distanță,” se arată în buletinul de securitate Apache.
În concluzie, CVE-2024-53677 permite atacatorilor să încarce fișiere periculoase precum coji web în directoare restricționate și să le folosească pentru a executa comenzi la distanță, a descărca alte sarcini și a fura date.
Vulnerabilitatea este similară cu CVE-2023-50164, existând speculații că aceeași problemă a reapărut din cauza unei remedieri incomplete, o problemă care a afectat anterior proiectul.
Cercetătorul ISC SANS, Johannes Ullrich, raportează că a văzut încercări de exploatare care par să folosească exploituri disponibile public sau cel puțin să fie puternic inspirate de acestea.
„Vedem încercări active de exploatare pentru această vulnerabilitate care se potrivesc cu codul de exploit PoC. În acest moment, încercările de exploitare încearcă să enumere sisteme vulnerabile,” raportează Ullrich.
Atacatorii enumeră sisteme vulnerabile folosind exploitul pentru a încărca un fișier „exploit.jsp” care conține o singură linie de cod pentru a afișa șirul „Apache Struts”.
Exploitantul încearcă apoi să acceseze scriptul pentru a verifica dacă serverul a fost exploatat cu succes. Ullrich spune că exploatarea a fost detectată doar de la o singură adresă IP, 169.150.226.162.
Pentru a reduce riscul, Apache spune că utilizatorii ar trebui să facă upgrade la Struts 6.4.0 sau ulterior și să migreze către noul mecanism de încărcare a fișierelor.
Merul aplicarea patch-ului nu este suficientă, deoarece codul care gestionează încărcarea de fișiere în aplicațiile Struts trebuie rescris pentru a implementa noul mecanism de încărcare de fișiere Action.
„Această schimbare nu este compatibilă înapoi deoarece trebuie să rescrieți acțiunile pentru a începe să utilizați noul mecanism de încărcare a fișierelor Action și interceptorul asociat,” avertizează Apache.
„Continuarea utilizării vechiului mecanism de încărcare a fișierelor vă menține vulnerabil la acest atac.”
Cu exploatarea activă în desfășurare, mai multe agenții naționale de securitate cibernetică, inclusiv cele din Canada, Australia și Belgia, au emis avertismente publice îndemnând dezvoltatorii de software afectați să ia măsuri imediate.
Exact acum un an, hackerii au folosit exploituri disponibile public pentru a ataca serverele vulnerabile Struts și pentru a obține executare de cod la distanță.
Noua vulnerabilitate zero-day RCE Cleo exploatată în atacurile de furt de date
Modulul Companion WordPress Hunk exploatat pentru a instala module suplimentare vulnerabile
Noul spyware Android NoviSpy legat de bug-urile zero-day Qualcomm
CISA confirmă exploatarea critică a bug-ului Cleo în atacurile de ransomware
Veeam avertizează asupra bug-ului critic RCE în Consola Furnizorului de Servicii
Leave a Reply