3аплахите са започнали да използват уязвимост с критична сериозност в Apache Struts 2 по-малко от месец, след като тя беше публично разкрита.
Проблемът, проследен като CVE-2024-53677 (CVSS оценка 9,5), се описва като логически недостатък при качване на файлове, който може да позволи на атакуващия да извърши атака за обхождане на пътища.
„Атакуващият може да манипулира параметри за качване на файлове, за да позволи обхождане на пътища, и при някои обстоятелства това може да доведе до качване на злонамерен файл, който може да се използва за извършване на отдалечено изпълнение на код“, отбелязва Apache в своята консултация.
По същество нападателите могат да се възползват от уязвимостта, за да поставят злонамерени файлове в директории с ограничен достъп, което може да им позволи да откраднат данни, да изпълнят произволен код и потенциално да компрометират изцяло системите.
„Apache Struts се намира в сърцето на много корпоративни ИТ стекове, като управлява публични портали, вътрешни приложения за производителност и критични бизнес работни процеси. Популярността му в контекста на високите залози означава, че уязвимост като CVE-2024-53677 може да има далечни последици“, отбелязва фирмата за облачна сигурност Qualys.
Грешката засяга версиите на Struts от 2.0.0 до 2.3.37 и от 2.5.0 до 2.5.33, които са преустановени, както и версиите от 6.0.0 до 6.3.0.2.
Версия 6.4.0 на Struts отстранява дефекта в сигурността, като премахва уязвимия механизъм за качване на файлове FileUploadInterceptor. В допълнение към актуализирането на Struts потребителите трябва да мигрират към новия механизъм ActionFileUploadInterceptor, който не е засегнат, казват от Apache.
Компанията обаче предупреждава, че промяната не е обратно съвместима и че потребителите ще трябва да пренапишат своите действия, за да започнат да използват новия механизъм.
„Продължавайки да използвате стария механизъм за качване на файлове, оставате уязвими за тази атака“, отбелязва Apache, като обяснява, че не е наличен обходен път.
CVE-2024-53677, казва Apache, прилича на CVE-2023-50164 (CVSS оценка 9,8), който започна да бъде обект на атаки само няколко дни след като беше публично разкрит през декември миналата година.
Миналата седмица беше публикуван код за доказване на концепцията (Proof-of-concept – PoC), насочен към наскоро разрешената грешка, и скоро след това започнаха първите опити за експлоатация, предупреждава Йоханес Улрих от Центъра за интернет бури на SANS.
„Наблюдаваме активни опити за експлоатиране на тази уязвимост, които съвпадат с кода за експлоатиране на PoC. На този етап опитите за експлоатиране се опитват да изброят уязвимите системи“, казва Улрих.
