Sidste uge, vi rapporteret om CVE-2018-11.776, en ny meget kritisk sårbarhed bopæl i Apache Strut kerne funktionalitet, også beskrevet som en fjernkørsel sårbarhed, der påvirker alle understøttede versioner af Apache Struts 2. Fejlen ligger i open source Web rammer, og i henhold til sikkerhedseksperter, det kunne overstige de skader, vi var vidne til sidste år under Equifax brud.
Desværre, et Proof-of-Concept (PoC) udnytte til CVE-2018-11.776 har optrådt på GitHub, sammen med en Python-script, der gør det nemt at udnyttelse, Indspillede Fremtidige forskere netop rapporteret.
Hvad betyder en arbejdsgruppe CVE-2018-11.776 PoC Mean?
Først og fremmest, Forskerne siger, at der har været forhandlinger om udnyttelse af den nye Struts sårbarhed på en række kinesiske og russiske underjordiske fora. Som forklaret af sikkerhedseksperterne:
Apache Struts er en meget populær Java rammer, og der er potentielt hundreder af millioner af sårbare systemer, der kunne udnyttes af denne fejl. Udfordringen er at identificere, hvor mange systemer er sårbare. Fordi mange af de servere, der kører Apache Struts er backend applikationsservere, de er ikke altid let identificeres, selv af systemejere.
Men, dette betyder ikke nødvendigvis, serverne er ikke offentligt tilgængelige af hackere. I de fleste tilfælde, scannere vil narre servere til at returnere en Java staksporing som en måde at identificere potentielle Struts servere. Men andre tricks er også mulige, såsom udkig efter specifikke filer eller mapper.
Endvidere, den nye Struts sårbarhed synes at være lettere at udnytte fordi det ikke kræver installation Apache Struts at have nogen ekstra plugins kører for at udnytte til at finde sted, forskerne tilføjet.
Forskerne også advaret om, at hvis CVE-2018-11.776 PoC offentliggjort på GitHub er faktisk en fuldt fungerende én, og virksomheder har ikke lappet imod det endnu, resultatet ville være ødelæggende. Med hensyn til om PoC er troværdig eller ej, Semmle CEO Jan de Moor [den administrerende direktør for selskabet, der opdagede fejlen] afvist at bekræfte arten af PoC. Hvad sagde han dog, at hvis det er et arbejde PoC, hackere har nu en hurtigere og en meget effektiv måde til en virksomhed.
Den gode nyhed er, at hvis en virksomhed ikke er i stand til straks at opdatere til en række årsager, er der stadig muligheder for at afbøde mod udnytte, såsom følgende løsning:
Kontroller, at du har indstillet (og altid ikke glemt at sætte) navnerum (hvis er relevant) til dine alle definerede resultater i de underliggende konfigurationer. Også kontrollere, at du har indstillet (og altid ikke glemt at sætte) værdi eller handling for alle url tags i dine JSP'er. Begge er nødvendige, når deres øverste handling(s) konfigurationer har ingen eller wildcard navnerum.