Apache Struts 2’deki kritik ve inatçı yeni bir güvenlik açığı halihazırda aktif olarak kullanılıyor olabilir ve bunu düzeltmek, bir yama indirmek kadar kolay değildir.
Destekler 2 Java uygulamaları oluşturmaya yönelik açık kaynaklı (OSS) bir çerçevedir. Struts 2, ilk dönemini çoktan geride bırakmış olsa da, endüstrilerdeki eski eski sistemlerde hâlâ yaygın olarak kullanılıyor. Aslında, eskiliğiyle birleşen yaygınlığı, onu yeni keşfedilen savunmasız hale getiriyor. CVE-2024-53677CVSS 9.5 — çok çetrefilli. Bileşenleri eskidikçe ve daha yeni teknolojiler ve güvenlik uygulamaları ilerledikçe, bunun gibi yeni ortaya çıkan sorunları düzeltmek, standart bir yamadan daha fazlasını gerektirebilir.
Veracode baş güvenlik savunucusu Chris Wysopal, “Risk, eski uygulamaların modern bir CI/CD hattıyla entegre edilme olasılığının daha düşük olması gerçeğinde yatmaktadır” diye açıklıyor. “Sonuç olarak, Struts 2 kitaplığını güncellemek, güvenlik açığı bulunan bir uygulamanın yeni bir sürümünü oluşturmak ve dağıtmak, daha fazla manuel çaba gerektirir ve önemli ölçüde daha uzun sürer. Bu önemli çaba, saldırganların yararlanabileceği ve avantaj elde edebileceği daha uzun bir güvenlik açığı penceresiyle sonuçlanacaktır. bu zayıflıktan.”
“Kurumlar Struts 2 kullanımının tüm örneklerini bulup düzelttikçe bu güvenlik açığından yararlanıldığını muhtemelen haftalarca göreceğiz” değerlendirmesini yapıyor.
Apache Struts 2’deki RCE Hatası
Geçen yılın aynı zamanlarında, neredeyse bugüne kadar, Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) “kritik” 9,8 puana sahip bir Struts 2 güvenlik açığı kamuoyuna duyuruldu. CVE-2023-50164 Saldırganların dosya yükleme parametrelerini manipüle etme yeteneğinden kaynaklanarak yol geçişine kapı açılmıştır. Belirli koşullar altında bir saldırgan, sunucuda uzaktan kod yürütme (RCE) gerçekleştirmek için özel hazırlanmış kötü amaçlı bir komut dosyası yükleyebilir.
CVE-2024-53677, CVE-2023-50164 yenilenmesidir. Bu da Struts 2’nin dosya yüklemelerini yönetmekten sorumlu olan Dosya Yükleme Durdurucu bileşeninde bulunur ve yol geçişi yoluyla RCE’yi etkinleştirir. SANS Enstitüsü’nden Johannes Ullrich, bir blog yazısında şunu öne sürdü: CVE-2023-50164 için yetersiz bir yama bu son deja vu’ya yol açtı.
Ayrıca bir IP adresinden aktif yararlanma girişimlerini de gözlemledi. halka açık kavram kanıtı (PoC). Saldırgan, ‘Apache Struts’u döndürmesi beklenen tek satırlık bir komut dosyası yükleyerek bu güvenlik açığıyla oynadı. Daha sonra saldırgan, yüklenen betiği bulmaya çalışır. Bu istismar girişimi, orijinal PoC’ye çok yakındır. O zamandan bu yana, aynı GitHub deposuna biraz geliştirilmiş bir istismar yüklendi” diye yazdı.
Tipik olarak bu gibi durumlarda kuruluşların yamaları mümkün olan en kısa sürede uygulamaları önerilir. CVE-2024-53677 durumunda hikaye o kadar basit değil.
Kuruluşların, söz konusu Dosya Yükleme Engelleyicisini kullanımdan kaldıran CVE-2023-50164’ün ardından yayımlanan Struts’un en son sürümü olan 6.7.0’a veya en azından 6.4.0’a yükseltme yapması gerekiyor. Düzeltme geriye dönük olarak uyumlu değilancak Apache güvenlik bülteninde şunu belirtti. BT ekiplerinin yeni çıkmış Action File Upload Interceptor’a geçmeleri ve bundan yararlanmak için kodlarını özenle yeniden yazarak mevcut uygulamalarının dosya yüklemelerini nasıl yöneteceklerini ayarlamaları gerekecek.
Qualys’in güvenlik açığı araştırması müdürü Saeed Abbasi, “Bu basit bir sürüm artışı değil” diye uyarıyor. “Kodların yeniden yazılmasını, konfigürasyon ayarlamalarını gerektirir ve mevcut mantığı ve bağımlılıkları bozabilir. Karmaşık ortamlarda, eski önleyicinin tüm izlerini kaldırmak, karmaşık eklenti zincirleri ve katmanlı çerçeveler nedeniyle önemli zorluklar yaratır. Bu karmaşıklık, kapsamlı regresyon testi.”
CVE-2024-53677’nin Potansiyel Etki Kapsamı
Avustralya, Belçika’daki ulusal siber güvenlik merkezleri, KanadaSingapur ve Birleşik Krallık, CVE-2024-53677 ile ilgili acil güvenlik uyarıları yayınladı. Struts 2’nin günümüzde geliştiriciler tarafından çok nadir kullanılması nedeniyle bu konunun bu kadar dikkat çektiği ilk başta pek anlaşılamayabilir. Ancak dünya çapındaki eski sistemlerde yaşamaya devam ediyor.
2000’li yıllarda Struts 2, Java Web çerçeveleri arasında kraldı. 2007 yılına gelindiğinde alıyordu Ayda yaklaşık 350.000 indirme. Web sayfası ayda milyonlarca ziyaret aldı, haber bülteninin bile binlerce abonesi vardı. Bugün Wysopal şöyle diyor: “Artık ana akım çekiciliği yok ve yeni projeler için nadiren seçiliyor. Varlığı, aktif popülerlikten ziyade tarihsel benimsenmenin bir ürünü.”
“‘Krallığı’, muhafazakar endüstrilerdeki (özellikle finans, sigorta, hükümet ve büyük ölçekli imalat veya lojistik) çoğunlukla düzenlemeye tabi olan ve modernleşme olasılığı daha az olan kuruluşlar ve bölgelerdeki istikrarlı, eski uygulamalarla sınırlıdır” diyor. Konuya ilişkin örnek: Struts 2’deki güvenlik açığı, 2017’deki meşhur Equifax ihlali.
Struts 2, 2024’te eski sistemlerde ne kadar yaygın olacak? Abbasi, CVE-2024-53677’nin açıklanmasını takip eden ilk 24 saat içinde Qualys’in “on binlerce savunmasız örneği gözlemlediğini ve bu durumun sorunun kapsamını ve aciliyetini yansıttığını” bildirdi.
Onun görüşüne göre, “Struts 2’nin kritik sistemlerde daha güvenli çerçeveler ortaya çıktıktan çok sonra bile varlığını sürdürmesi, işletmelerin teknik borçla karşı karşıya kaldığı süregelen mücadeleyi göstermektedir. Birçok kuruluş, Struts sürümlerini uygun bir planlama olmaksızın kullanım ömrünün sonuna kadar çalıştırmaktadır. yeni güvenlik açıklarının etkisini artırıyor Kuruluşların, kritik çerçevelerin düzenli olarak güncellenmesini ve kullanımdan kaldırılan bileşenlerin hızla kullanımdan kaldırılmasını sağlayan yaşam döngüsü yönetimi stratejilerinin yanı sıra sağlam bir saldırı yüzeyi yönetimine ihtiyacı var.”