Активность эксплуатации была замечена примерно через неделю после раскрытия CVE.
Wirestock через Getty Images
Злоумышленники активно эксплуатируют критическую уязвимость в Apache Struts 2 всего через несколько дней после ее первоначального обнаружения Исследователи предупреждают, что уязвимость раскрыта и исправлена.
Уязвимость, обозначенная как CVE-2024-53677, связана с ошибкой в логике загрузки файлов, согласно бюллетеню Apache. Уязвимость имеет оценку CVSS 9,5 из 10, что указывает на то, что риск считается критическим.
Злоумышленник может манипулировать параметрами загрузки файлов, чтобы включить обход пути. Apache настоятельно рекомендует пользователям обновиться до Struts 6.4.0 или выше и использовать Action File Upload Interceptor. Исследователи безопасности предупреждают, что уязвимость может позволить злоумышленнику выполнять вредоносные действия.
«Из-за уязвимости в функции загрузки Struts 2 злоумышленники могут загружать файлы в ограниченные области на сервере, что затем может быть использовано для выполнения кода», — сообщил по электронной почте Йоханнес Ульрих, декан исследований в технологическом институте SANS.
По словам Ульриха, в типичном сценарии атаки хакеры загружают веб-оболочку, которая предоставляет им простой интерфейс для выполнения команд на сервере и инициирования дальнейшей компрометации.
Данные Maven Central показывают, что уязвимые компоненты были загружены почти 40 000 раз с момента первоначальной публикации исправления 11 декабря, сообщила Sonatype в своем сообщении в блоге в пятницу.
По данным Sonatype, уязвимые версии компонентов составляют около 90% загрузок Struts 2 за последнюю неделю. Это означает, что ставки очень высоки, а времени остается все меньше, по словам официальных лиц Sonatype.
Исследователи предупреждают, что уязвимость основана на проблемах, связанных с предыдущей уязвимостью, обозначенной как CVE-2023-50164. Эта связь вызвала у некоторых исследователей опасения по поводу неполного исправления.
Брайан Фокс, соучредитель и технический директор Sonatype, сказал, что обновление не устранит уязвимость полностью, а потенциальные изменения кода, необходимые для использования другого перехватчика загрузки файлов, значительно усложняют шаги по смягчению.
«Это значительно увеличит уровень усилий, необходимых для исправления, что значительно увеличит продолжительность воздействия», — сказал Фокс в среду в сообщении на LinkedIn.
Стивен Фьюэр, главный исследователь безопасности в Rapid7, усомнился в правдивости и масштабах активной эксплуатации, добавив, что опасения вытекают из наблюдений за эксплойтом публичного доказательства концепции, который используется против системы honeypot.
«Неясно, происходит ли успешная эксплуатация против каких-либо жизнеспособных целевых систем», — сказал Фьюэр в пятницу по электронной почте.
Публичное доказательство концепции эксплойта, вероятно, потребуется модифицировать для успешной эксплуатации любого целевого веб-приложения, сказал Фьюэр
