Saldırganlar, Apache Struts 2’de yakın zamanda yamalı yol geçiş güvenlik açığı olan CVE-2023-50164 için genel istismar kanıtı (PoC) yararlanma kodundan yararlanmaya çalışıyor.
Akamai’nin Güvenlik İstihbarat Grubu, “Saldırganlar, bazı durumlarda ‘fileFileName’ parametresini hedef alarak web kabukları dağıtmayı hedefliyor; bu, orijinal istismar PoC’sinden bir sapmadır.” işaretli Çarşamba günü.
Shadowserver Vakfı ayrıca fark etmeye başladım Başarılı olduklarını görmeseler de sensörlerinde istismar girişimleri var.
Güvenlik açığı hakkında
Source Incite’den Steven Seeley tarafından bildirilen CVE-2023-50164, dosya yükleme parametrelerini değiştirerek yol geçişini mümkün kılıyor ve bazı durumlarda saldırganların uzaktan kod yürütmek için kullanılabilecek kötü amaçlı dosyalar yüklemesine izin verebilir.
Güvenlik açığı Apache Struts sürümlerini etkiliyor:
- 2.0.0’dan 2.5.32’ye
- 6.0.0 ila 6.3.0.1
- 2.0.0’dan 2.3.37’ye kadar (bunlar artık desteklenmemektedir)
Bu sorun Apache Struts 2.5.33 ve 6.3.0.2 sürümlerinde düzeltilmiştir ve Struts 2 geliştiricileri ve kullanıcılarından mümkün olan en kısa sürede yükseltme yapmaları istenmiştir; bunun için herhangi bir geçici çözüm bulunmamaktadır.
CVE-2023-50164 için PoC yararlanma kodu herkese açık
Hatanın analizi ve yeniden üretimi 12 Aralık’ta yayınlandı ve yazar şunları kaydetti: “Bu güvenlik açığı, farklı senaryolara göre farklı POC’lerin üretilmesini gerektiriyor, çünkü dosya yükleme noktasında sıkı bir müdahale ve inceleme yapılırsa, bu güvenlik açığının atlatmak zor.”
Güvenlik açığı araştırmacısı Ákos Jakab tarafından 13 Aralık’ta bir PoC istismar betiği yayınlandı, ancak bu komut yalnızca hedef uygulama Apache Tomcat’e dağıtıldığında çalışıyor.