3. Taraf Risk Yönetimi, Yönetişim ve Risk Yönetimi, Yama Yönetimi
Yol Geçişi Kusuru, Saldırganların Web Uygulamalarında Kötü Amaçlı Kod Çalıştırmasına Olanak Sağlıyor
Jayant Chakravarti (@JayJay_Tech) •
13 Aralık 2024
Güvenlik araştırmacıları, açık kaynaklı Apache Struts2 çerçevesinde, saldırganların kötü amaçlı dosyalar yüklemesine ve etkilenen web uygulamalarında uzaktan kod yürütmesine olanak tanıyan kritik bir güvenlik açığı tespit etti.
Ayrıca bakınız: Proaktif Maruz Kalma Yönetimiyle Siber Güvenliği Dönüştürün
Avustralya Siber Güvenlik Merkezi Cuma günü, Apache Struts 2 çerçevesindeki CVE-2024-53677 olarak atanan kritik bir güvenlik açığının, çeşitli Struts sürümlerini uzaktan kod yürütmeye ve olası tehlikeye karşı savunmasız hale getiren bir yanlış yapılandırmadan kaynaklandığına dair bir uyarı yayınladı.
Çeşitli açık kaynaklı yazılım geliştirme projelerini destekleyen ABD’li kar amacı gütmeyen bir grup olan Apache Yazılım Vakfı, bir saldırganın yol geçişini etkinleştirmek için dosya yükleme parametrelerini değiştirmek üzere bu güvenlik açığından yararlanabileceğini söyledi. “Bazı koşullar altında bu, uzaktan kod yürütmek için kullanılabilecek kötü amaçlı bir dosyanın yüklenmesine yol açabilir” dedi.
Apache Struts, geliştiricilerin modern Java web uygulamaları oluşturmak için kullandığı ücretsiz, açık kaynaklı bir çerçevedir. Çerçeve bir eklenti mimarisine sahiptir ve REST, AJAX ve JSON dosya formatlarını destekler. Çerçevenin bazı sürümleri artık kullanım ömrünün sonuna ulaştı ancak Google yama ödül programı kapsamında yer alıyor.
Apaçi[.]org, kritik güvenlik açığının Struts 2.0.0, Struts 2.5.0 – 2.5.33 ve Struts 6.0.0 – 6.3.0.2 sürümlerini etkilediğini söyledi. Herhangi bir geçici çözüm bulunmadığı göz önüne alındığında, kullanıcılara derhal bu güvenlik açığını içermeyen Struts 6.4.0 veya sonraki sürümlere yükseltme yapmaları önerildi.
ACSC, Apache Struts güvenlik açıklarının, yaygın kullanımları göz önüne alındığında “tehdit aktörleri için popüler hedefler” olduğunu ve tehdit aktörlerinin daha önce 2019 ve 2023 yıllarında bu tür güvenlik açıklarından yararlanarak büyük olaylara yol açtığını söyledi. Çerçevenin büyük ölçekli kullanıcıları arasında ABD Gelir İdaresi ve Fortune 100 şirketlerinin çoğunluğu yer alıyor. Apache Struts kullanıcılarının yarısından fazlası ABD’de bulunuyor
Web analitiği firması Build With’e göre, geçmişte 20.000’den fazla web sitesi Struts’u kullandı ve 2024 itibarıyla bunların 7.699’u hala aktif.
2017 yılında ABD kredi bürosu Equifax, yaklaşık 143 milyon kişinin kişisel ve finansal bilgilerini tehlikeye atan büyük bir veri ihlaline maruz kaldı. Kredi bürosu daha sonra saldırganların sistemlerini ihlal etmek için Apache Struts’un CVE-2017-5638 güvenlik açığından yararlandığını söyledi. Saldırı, Apache’nin Mart ayı yazılım güncellemesiyle güvenlik açığını gidermiş olmasına rağmen Mayıs ortasında başladı (bkz: Equifax Hack’i için Yamasız Apache Struts Kusuru Var mı?).
Apache Vakfı’na göre Apache Struts kullanıcıları, yeni bir dosya yükleme mekanizmasına geçerek uygulamalarını CVE-2024-53677’nin kötüye kullanılmasından koruyabilir, ancak değişiklik geriye dönük olarak uyumlu değildir. Bu, Struts kullanıcılarının yeni Eylem Dosyası Yükleme mekanizmasını kullanırken başlamak için eylemlerini yeniden yazmaları gerektiği anlamına gelir.