Bilgisayar korsanları, Java web uygulamaları geliştirmek için yaygın olarak kullanılan açık kaynaklı bir çerçeve olan Apache Struts2’de yeni keşfedilen bir güvenlik açığından yararlanmaya başladı.
CVE-2024-53677 tanımlayıcısı atanan güvenlik açığının kritik CVSS puanı 9,5 olup, ele alınmadığı takdirde ciddi etki potansiyeline işaret etmektedir.
Güvenlik Açığının Arka Planı
Apache Struts2 geçen hafta güvenlik açığını duyurarak güvenlik açığının yol geçişli doğasını vurguladı.
Bu kusur, saldırganların dosyaları sınırlandırılması gereken dizinlere yüklemesine olanak tanır ve potansiyel olarak uzaktan kod yürütülmesine yol açar.
Bilgisayar korsanları bir web kabuğunu başarıyla web köküne yüklerse, etkilenen sistem üzerinde yetkisiz kontrol elde edebilirler.
Güvenlik açığının, yeterince ele alınmayan ve mevcut tehdide yol açan önceki bir sorun olan CVE-2023-50164 ile bağlantısı var gibi görünüyor.
Apache’nin çabalarına rağmen bu güvenlik açığını düzeltmek kolay değildir. Apache’ye göre, eski mekanizma sistemleri açıkta bıraktığından, kullanıcıların riski azaltmak için yeni bir Eylem Dosyası Yükleme mekanizmasına ve önleyiciye geçmesi gerekiyor.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide
Suistimal Girişimleri
CVE-2024-53677’ye yönelik kavram kanıtlama (PoC) açıkları kamuya açıklandı ve şu anda aktif olarak savunmasız sistemleri hedef alan çeşitli girişimler var.
Bu girişimler, saldırıya açık sistemleri tanımlamayı amaçlayan PoC yararlanma kodunu yakından taklit eder.
Gözlemlenen bir istismar girişimi, Apache Struts’un varlığını doğrulamayı amaçlayan basit bir komut dosyası içeren hazırlanmış bir komut dosyası olan “exploit.jsp”yi yüklemek için HTTP POST isteklerinin kullanılmasını içerir.
Başarılı olursa saldırganlar, kötü amaçlı etkinlikleri uzaktan yürütmek için HTTP GET isteklerini kullanarak yüklenen komut dosyasını arayabilir.
Kullanım Kodu Örneği:
POST /actionFileUpload HTTP/1.1
Host: [honeypot IP address]:8090
User-Agent: python-requests/2.32.3
Accept-Encoding: gzip, deflate, zstd
Accept: */*
Connection: keep-alive
Content-Length: 222
Content-Type: multipart/form-data; boundary=0abcfc26e3fa0afbd6db1ba369dfcc37
--0abcfc26e3fa0afbd6db1ba369dfcc37
Content-Disposition: form-data; name="file"; filename="exploit.jsp"
Content-Type: application/octet-stream
<% out.println("Apache Struts"); %>
--0abcfc26e3fa0afbd6db1ba369dfcc37--ISC raporlarına göre, mevcut istismar girişimlerinin izi, savunmasız sistemleri aktif olarak tarayan 169.150.226.162 IP adresine kadar uzanıyor. Saldırgan başlangıçta basit URL’leri hedef aldı ve muhtemelen diğer yükleme güvenlik açıklarını araştırdı.
Bu güvenlik açığının ciddiyeti göz önüne alındığında, Apache Struts2 kullanan kuruluşların sistemlerini derhal güncellemeleri gerekir.
Önerilen Eylem Dosyası Yükleme mekanizmasına geçiş çok önemlidir. Ek olarak, ağ trafiğinin olağandışı veya yetkisiz faaliyetler açısından izlenmesi, potansiyel tehditlerin belirlenmesine ve azaltılmasına yardımcı olabilir.
Siber güvenlik tehditlerinin manzarası gelişmeye devam ederken kuruluşların dikkatli kalması gerekiyor. Kötüye kullanıma karşı koruma sağlamak ve web uygulamalarının bütünlüğünü sağlamak için acil eylem ve sürekli güvenlik incelemeleri çok önemlidir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin