Araştırmacılar, saldırganların Apache Struts 2’deki kritik bir güvenlik açığının ilk olarak ortaya çıkıp yamalanmasından sadece birkaç gün sonra aktif olarak istismar ettiği konusunda uyarıyor.
Olarak listelenen güvenlik açığı CVE-2024-53677dosya yükleme mantığında bir kusur içeriyorsa, Apache’den gelen bir bültene göre. Güvenlik açığı CVSS 10 üzerinden 9,5 puan, riskin kritik olarak değerlendirildiğini gösterir.
Saldırgan, yol geçişini etkinleştirmek için dosya yükleme parametrelerini değiştirebilir. Apache, kullanıcıları Struts 6.4.0 veya daha üst bir sürüme yükseltmeye ve Eylem Dosyası Yükleme Engelleyicisini kullanmaya çağırdı. Güvenlik araştırmacıları, bu güvenlik açığının bir saldırganın kötü niyetli eylemler gerçekleştirmesine olanak verebileceği konusunda uyarıyor.
“Struts 2 yükleme özelliğindeki bir güvenlik açığı nedeniyle saldırganlar, sunucudaki kısıtlı alanlara dosya yükleyebilir ve bu daha sonra kod yürütmek için kullanılabilir.” Johannes Ullrich, SANS Teknoloji Enstitüsü araştırma dekanıe-posta yoluyla söyledi.
Ullrich’e göre, tipik bir saldırı senaryosunda bilgisayar korsanları, sunucuda komutları yürütmek ve daha fazla tehlikeye girmek için onlara basit bir arayüz sağlayan bir web kabuğu yükler.
Sonatype, Maven Central’dan elde edilen verilerin, düzeltmenin ilk olarak 11 Aralık’ta yayınlanmasından bu yana savunmasız bileşenlerin neredeyse 40.000 kez indirildiğini gösterdiğini söyledi. bir Cuma blog yazısı.
Sonatype’e göre, geçtiğimiz hafta yapılan Struts 2 indirmelerinin yaklaşık %90’ını savunmasız bileşen sürümleri oluşturdu. Sonatype yetkililerine göre bu, riskin çok yüksek olduğunu ve zamanın daraldığını gösteriyor.
Araştırmacılar, güvenlik açığının daha önceki bir güvenlik açığıyla bağlantılı sorunlar üzerine kurulduğu konusunda uyarıyor: CVE-2023-50164. Bağlantı, bazı araştırmacıların eksik bir yamanın söz konusu olduğu konusunda endişe duymalarına neden oldu.
Brian Fox, Sonatype’ın kurucu ortağı ve CTO’subir yükseltmenin güvenlik açığını tamamen ortadan kaldırmayacağını ve farklı bir dosya yükleme önleyicisinden yararlanmak için gereken potansiyel kod değişikliklerinin, azaltma adımlarını çok daha karmaşık hale getirdiğini söyledi.
Fox çarşamba günü yaptığı açıklamada, “Bu, düzeltme için gereken çaba düzeyini önemli ölçüde artıracak ve bu da maruz kalma süresini önemli ölçüde artıracak” dedi. LinkedIn gönderisi.
Stephen Fewer, Rapid7’nin baş güvenlik araştırmacısı, aktif istismarın doğruluğunu ve kapsamını sorguladı ve bir bal küpü sistemine karşı kullanılan istismar kavramının kamuya açık kanıtı hakkındaki gözlemlerden kaynaklanan endişeleri ekledi.
Fewer Cuma günü e-posta yoluyla şunları söyledi: “Herhangi bir geçerli hedef sisteme karşı başarılı bir istismarın gerçekleşip gerçekleşmediği belli değil.”
Fewer, hedeflenen herhangi bir web uygulamasının başarılı bir şekilde kullanılması için istismarın kamuya açık kanıtının muhtemelen değiştirilmesi gerekeceğini söyledi.