Sidste uge, vi rapporteret om CVE-2018-11.776, en ny meget kritisk sårbarhed bopæl i Apache Strut kerne funktionalitet, også beskrevet som en fjernkørsel sårbarhed, der påvirker alle understøttede versioner af Apache Struts 2. Fejlen ligger i open source Web rammer, og i henhold til sikkerhedseksperter, det kunne overstige de skader, vi var vidne til sidste år under Equifax brud.
Desværre, et Proof-of-Concept (PoC) udnytte til CVE-2018-11.776 har optrådt på GitHub, sammen med en Python-script, der gør det nemt at udnyttelse, Indspillede Fremtidige forskere netop rapporteret.
Hvad betyder en arbejdsgruppe CVE-2018-11.776 PoC Mean?
Først og fremmest, Forskerne siger, at der har været forhandlinger om udnyttelse af den nye Struts sårbarhed på en række kinesiske og russiske underjordiske fora. Som forklarede af sikkerhedseksperter:
Apache Struts er en meget populær Java rammer, og der er potentielt hundreder af millioner af sårbare systemer, der kunne udnyttes af denne fejl. Udfordringen er at identificere, hvor mange systemer er sårbare. Fordi mange af de servere, der kører Apache Struts er backend applikationsservere, de er ikke altid let identificeres, selv af systemejere.
Men, dette betyder ikke nødvendigvis, serverne er ikke offentligt tilgængelige af hackere. I de fleste tilfælde, scannere vil narre servere til at returnere en Java staksporing som en måde at identificere potentielle Struts servere. Men andre tricks er også mulige, såsom udkig efter specifikke filer eller mapper.
Endvidere, den nye Struts sårbarhed synes at være lettere at udnytte fordi det ikke kræver installation Apache Struts at have nogen ekstra plugins kører for at udnytte til at finde sted, forskerne tilføjet.
Forskerne også advaret om, at hvis CVE-2018-11.776 PoC offentliggjort på GitHub er faktisk en fuldt fungerende én, og virksomheder har ikke lappet imod det endnu, resultatet ville være ødelæggende. Med hensyn til om PoC er troværdig eller ej, Semmle CEO Jan de Moor [den administrerende direktør for selskabet, der opdagede fejlen] afvist at bekræfte arten af PoC. Hvad sagde han dog, at hvis det er et arbejde PoC, hackere har nu en hurtigere og en meget effektiv måde til en virksomhed.
Den gode nyhed er, at hvis en virksomhed ikke er i stand til straks at opdatere til en række årsager, er der stadig muligheder for at afbøde mod udnytte, såsom følgende workaround:
Kontroller, at du har indstillet (og altid ikke glemt at sætte) navnerum (hvis er relevant) til dine alle definerede resultater i de underliggende konfigurationer. Også kontrollere, at du har indstillet (og altid ikke glemt at sætte) værdi eller handling for alle url tags i dine JSP'er. Begge er nødvendige, når deres øverste handling(s) konfigurationer har ingen eller wildcard navnerum.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: