Поделиться
Новая критическая уязвимость в Apache Struts с опасностью 9,5-баллов
9,5-балльная уязвимость открывает возможности для запуска вредоносного кода в целевой системе. Судя по всему, это следствие недоработанного патча к предыдущей уязвимости.
Те же, там же
Выявлена критическая уязвимость в Apache Struts, уже вторая за этот месяц. «Баг» CVE-2024-53677 оценивается в 9,5 баллов из 10 возможных. Уже наблюдаются попытки его эксплуатировать.
Уязвимость затрагивает логику загрузки файлов в Apache Struts, вследствие чего потенциальный злоумышленник может произвести атаку с обходом пути (path traversal) и «в некоторых обстоятельствах» загрузить произвольный файл и добиться запуска произвольного кода, вывода данных или загрузки дополнительных вредоносов.
Проблема очень похожа на ту, которую команде Apache пришлось исправлять в первой половине декабря – CVE-2023-50164 (9,8 балла по шкале CVSS). По мнению Йоханнеса Ульриха (Johannes Ullrich), декана исследовательского подразделения Технологического института SANS, причиной возникновения новой уязвимости мог стать недоработанный патч для CVE-2023-50164; к той уязвимости был выпущен демонстрационный эксплойт, и нынешние попытки эксплуатировать CVE-2024-53677 повторяют его в точности.
«На данный момент все попытки эксплуатации сводятся к нумерации уязвимых систем; затем злоумышленник пытается найти уже загруженный скрипт. К настоящему моменту источником всех этих попыток является адрес 169.150.226.162», – отметил Ульрих.
Что характерно, этот IP-адрес, относящийся к Израилю, фигурирует в базе даных злоупотреблений AbuseIPDB. С конца 2023 г. он не менее девяти раз осуществлял попытки произвести разного рода атаки – с неясными, впрочем, результатами.
Обновиться и переписать код
Уязвимость присутствует во всех версиях Struts 2.0.0 - 2.3.37 (сняты с поддержки), 2.5.0 - 2.5.33 и 6.0.0 - 6.3.0.2. Пользователям Apache Struts рекомендовано срочно обновиться до версии 6.4.0.
Эксперты отмечают, что Struts присутствует во многих корпоративных ИТ-стеках, в том числе, критического характера, а это может означать, что новая уязвимость будет иметь масштабные последствия, если ее вовремя не устранить.
«С появлением информации о «баге» в публичном поле можно ожидать интенсивных попыток эксплуатировать ее, тем более что эксплойт к предыдущей уязвимости в Struts, так или иначе работает, – указывает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Так что ожидание масштабных последствий не лишены оснований».
Помимо обновления самого пакета, пользователям рекомендовано переработать код загрузки файлов, используя новый механизм Action File Upload.
Короткая ссылка
