En ny sårbarhed er blevet afsløret - den slags, der kan vise sig værre end den, der udløste Equifax brud. Sårbarheden er identificeret som CVE-2018-11.776, bosiddende i Apache Strut kerne funktionalitet. Det er en fjernkørsel sårbarhed, der påvirker alle understøttede versioner af Apache Struts 2.
Sidste års Equifax brud involveret også en sikkerhedsfejl i Apache Struts, så opdagelsen af en endnu farligere smuthul er ganske alarmerende. Den nye sårbarhed, CVE-2018-11.776, er beliggende i den open source Web rammer, og i henhold til sikkerhedseksperter det kunne overgå de skader, vi var vidne til i 2017.
CVE-2018-11.776 Teknisk oversigt
Denne seneste Struts sårbarhed var opdaget af forsker Man Yue Mo som er en del af det Semmle forskerholdet. CVE-2018-11.776 består i centrale funktioner i Struts, og det kunne tillade fjernkørsel af programkode, når rammerne er konfigureret på bestemte måder.
Ifølge Glen Pendley, stedfortræder CTO hos Tenable, sårbarheden eksisterer ikke på grund af konfigurationer, men når systemet er konfigureret på en bestemt måde, angribere kan udnytte sårbarheder i Struts.
Som forklaret af Semmle:
Denne nye fjernkørsel af programkode svaghed påvirker alle understøttede versioner af Apache Struts 2. En lappet version er blevet frigivet i dag. Brugere af Struts 2.3 rådes kraftigt til at opgradere til 2.3.35; brugere af Struts 2.5 skal opgradere til 2.5.17. Sårbarheden er beliggende i kernen af Apache Struts. Alle programmer, der bruger Struts er potentielt sårbare, selv når ingen yderligere plugins er blevet aktiveret.
Semmle Security Research Team anslået, at i det mindste 65% af Fortune 500 virksomheder bruger Struts i nogle af deres web-applikationer hvilket betyder, at fejlen kunne have vide konsekvenser på tværs af internettet.
Hvad værre er, at det viser sig, at den del af de rammer, som CVE-2018-11776 rører er potentielt langt mere effektfuld end tidligere sårbarheder. De endepunkter langt mere udbredt, i Pendley ord.
Semmle forskere samarbejdede med Apache Foundation at oplyse revne i en responsiv måde. Et sæt af softwareopdateringer er også blevet frigivet, siden af sårbarheden offentlige afsløring.
Organisationer og udviklere, der bruger Struts er et presserende rådes til at opgradere deres Struts komponenter straks, Semmle advarer. Tidligere oplysninger fra andre kritiske sårbarheder har resulteret i udnytter bliver offentliggjort inden for en dag, lægge data kritisk infrastruktur og kunderelationer i fare, selskabet tilføjer.
Sidste år, millioner af amerikanske borgere havde deres cpr-numre stjålet på grund af en kritisk sårbarhed udnyttes i berygtet Equifax Hack. Den sikkerhedsbrud ramt et af de største Credit Reporting virksomheder, der opererer i USA. Som et resultat af den ondsindede indtrængen hackere bag angrebet var i stand til at indhente oplysninger om løbet 40% af hele landets befolkning.