.
O fornecedor de segurança Sonatype acredita que os desenvolvedores não estão conseguindo resolver a vulnerabilidade crítica de execução remota de código (RCE) na estrutura Apache Struts 2, com base em downloads recentes do código.
A vulnerabilidade, rastreada como CVE-2023-50164, é avaliada em 9,8 de 10 em termos de gravidade CVSS. É um bug lógico no recurso de upload de arquivos da estrutura: se um aplicativo usa o Struts 2 para permitir que os usuários carreguem arquivos para um servidor, essas pessoas podem abusar da vulnerabilidade para salvar documentos onde não deveriam ser permitidos naquela máquina remota. Assim, alguém poderia, por exemplo, usar a falha para fazer upload de um script webshell para um servidor web e acessá-lo para assumir o controle ou obter uma posição segura nesse sistema.
As consequências de uma exploração bem-sucedida podem ser extremamente prejudiciais: pense no roubo de dados, nas infecções por malware, na invasão da rede e nesse tipo de coisa.
A correção é simples: use versões do Struts que foram corrigidas.
No entanto, pesquisadores da Sonatype, que opera o repositório Maven Central de software de código aberto, descobriram que entre a divulgação da falha em 7 de dezembro e 18 de dezembro, cerca de 80 por cento dos downloads do Struts daquele silo de código eram para versões que permanecem vulneráveis ao CVE- 2023-50164.
Esse número, afirma o fornecedor, é muito pior do que a adoção da versão fixa do Log4j em 2021 durante um período comparável.
A baixa taxa de download para cortes seguros do Struts ocorre apesar do lançamento do código de exploração de prova de conceito (PoC) que levou os serviços governamentais de consultoria cibernética a solicitarem uma correção rápida da vulnerabilidade.
Várias fontes confirmado a vulnerabilidade estava sob exploração ativa em 13 de dezembro, embora muitas tentativas não fossem válidas, pois não tinham como alvo endpoints com funcionalidade de upload de arquivos.
Independentemente disso, muitos especialistas do setor foram rápidos em reafirmar a orientação recomendada – que era atualizar para a versão mais recente do Struts 2 o mais rápido possível – mas observaram que havia uma lista de pré-condições que precisavam ser atendidas para que um ataque fosse bem-sucedido. .
“Acreditamos que na maioria dos cenários… a maioria dos casos de exploração de CVE-2023-50164 serão mais ataques personalizados pontuais contra aplicativos impactados que atendem às pré-condições exigidas versus tentativas indiscriminadas de exploração em massa”, observaram os pesquisadores da Praetorian, cujo artigo foi muito bem explica as restrições à exploração no mundo real.
“No entanto, embora o risco de exploração seja muito menor do que as vulnerabilidades anteriores no Apache Struts, ainda recomendamos que os desenvolvedores de aplicativos que executam a versão afetada do Apache Struts carreguem imediatamente para a versão mais recente, mesmo em cenários onde os pré-requisitos necessários para a exploração não são atendidos.”
Os pesquisadores apontaram que outro fator que dificulta a exploração bem-sucedida é a dificuldade envolvida na verificação de endpoints vulneráveis – novamente devido ao número de pré-condições e à exigência de funcionalidade de upload de arquivos.
Apesar da baixa probabilidade de exploração, Ilkka Turunen, CTO de campo da Sonatype, argumentou que há fatores em jogo que fazem com que a exploração potencial da vulnerabilidade valha a pena ser seriamente considerada.
Se um invasor encontrar um endpoint explorável, ou uma coleção deles, o ataque será facilmente automatizável. Também não faltam alvos potenciais na web se um invasor for capaz de verificar alvos vulneráveis de forma confiável – dada a ampla utilização do Struts 2, e os níveis mais baixos de pessoal nas organizações muitas vezes atrasam as atualizações de segurança e a detecção de ataques.
“À medida que navegamos na temporada de férias, a urgência em resolver a vulnerabilidade do Struts 2 deve ser uma alta prioridade”, escreveu ele no blog. “O potencial para execução remota de código, reminiscente do compromisso que afetou a Equifax, sublinha a necessidade de uma ação rápida.
“Embora não sejam tão graves quanto alguns casos importantes como o log4j há dois anos, esses incidentes servem como um lembrete de que o código aberto, como qualquer tecnologia, requer manutenção vigilante. Portanto, catalogue seu software e conheça seus componentes. Além disso, crie contas de software de materiais e procure por struts2-core.” ®
.
