Aktívne zneužívaná kritická zraniteľnosť vo frameworku Apache Struts

Vývojári open-source frameworku pre tvorbu Java EE webových aplikácií Apache Struts vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť. CVE-2024-53677 možno zneužiť na upload súborov a vzdialené vykonanie kódu. Na uvedenú zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci postup jej zneužitia.

Zraniteľné systémy:

• Apache Struts vo verziách 2.0.0 až 2.3.37 (ukončená technická podpora)
• Apache Struts vo verziách 2.5.0 až 2.5.33 (ukončená technická podpora)
• Apache Struts vo verziách 6.0.0 až 6.3.0.2

Pozn.: Zraniteľnosť je možné zneužiť len v rámci aplikácií, ktoré využívajú FileUploadInterceptor

Opis zraniteľnosti:

CVE-2024-53677 (CVSS 4.0 skóre 9,5)

Bližšie nešpecifikovanú chybu v logike pre nahrávanie súborov by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených POST požiadaviek mohol zneužiť na nahratie škodlivých súborov a vzdialené vykonanie kódu. CVE-2024-53677 je v súčasnosti aktívne zneužívaná útočníkmi a je dostupný proof-of-concept kód demonštrujúci postup jej zneužitia.

Možné škody:

• Vzdialené vykonanie kódu
• Neoprávnená zmena v systéme

Indikátory kompromitácie:

• 169.150.226[.]162

Odporúčania:

Výrobca odporúča bezodkladnú aktualizáciu Apache Struts na verziu 6.4.0 alebo novšiu. Odstránenie zraniteľnosti okrem samotnej aktualizácie frameworku vyžaduje aj úpravu zdrojového kódu aplikácií, aby začali využívať nový mechanizmus pre nahrávanie súborov.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie v logoch sieťových a bezpečnostných prvkov a ich blokovanie.

Zdroje:

• https://cwiki.apache.org/confluence/display/WW/S2-067
• https://isc.sans.edu/diary/31520
• https://nvd.nist.gov/vuln/detail/CVE-2024-53677
• https://www.bleepingcomputer.com/news/security/new-critical-apache-struts-flaw-exploited-to-find-vulnerable-servers/