Хакери се опитват да използват наскоро отстранена критична уязвимост (CVE-2023-50164) в Apache Struts, която води до отдалечено изпълнение на код, в атаки, които разчитат на публично достъпен код за експлойт.

Изглежда, че хакерите току-що са започнали, според платформата за сканиране Shadowserver, чиито изследователи са наблюдавали малък брой IP адреси, участващи в опити за експлоатация.

Apache Struts е рамка за уеб приложения с отворен код, предназначена да рационализира разработването на уеб приложения за Java EE, като предлага интерфейс, базиран на формуляри, и широки възможности за интеграция.

Продуктът се използва широко в различни индустрии както в частния, така и в публичния сектор, включително в правителствени организации, заради ефективността си при изграждането на мащабируеми, надеждни и лесно поддържани уеб приложения.

На 7 декември Apache пусна версии на Struts 6.3.0.2 и 2.5.33, за да отстрани уязвимост с критична сериозност, идентифицирана понастоящем като CVE-2023-50164.

Проблемът със сигурността представлява грешка в обхождането на пътища, която може да бъде използвана, ако са изпълнени определени условия. Тя може да позволи на нападател да качи злонамерени файлове и да постигне отдалечено изпълнение на код (RCE) на целевия сървър. Хакер, който използва такава уязвимост, може да модифицира чувствителни файлове, да открадне данни, да наруши работата на критични услуги или да се придвижи странично в мрежата.

Това може да доведе до неоторизиран достъп до уеб сървъри, манипулиране или кражба на чувствителни данни, прекъсване на критични услуги и странично движение в пробитите мрежи.

Уязвимостта RCE засяга версиите на Struts от 2.0.0 до 2.3.37 (край на експлоатационния срок), Struts от 2.5.0 до 2.5.32 и Struts от 6.0.0 до 6.3.0.

На 10 декември изследовател по сигурността публикува техническо описание за CVE-2023-50164, в което обяснява как  заплахата може да замърси параметрите за качване на файлове при атаки. Вчера беше публикуван втори запис, който включва код за експлойт за дефекта.

Възможно е Cisco да е засегната

В консултация по сигурността от вчера Cisco заявява, че проучва CVE-2023-50164, за да определи кои от нейните продукти с Apache Struts могат да бъдат засегнати и в каква степен.

Наборът от анализирани продукти на Cisco включва Customer Collaboration Platform, Identity Services Engine (ISE), Nexus Dashboard Fabric Controller (NDFC), Unified Communications Manager (Unified CM), Unified Contact Center Enterprise (Unified CCE) и Prime Infrastructure.

Пълният списък на потенциално засегнатите продукти може да бъде намерен в бюлетина за сигурност на Cisco, който се очаква да бъде актуализиран с нова информация.