La settimana scorsa, noi segnalati su CVE-2.018-11.776, una nuova vulnerabilità molto critico residente a funzionalità di base di Apache molla, anche descritto come una vulnerabilità? che interessa tutte le versioni supportate di Apache Struts 2. Il difetto si trova nel Web framework open source, e secondo gli esperti di sicurezza, si potrebbe superare il danno cui abbiamo assistito lo scorso anno durante la breccia Equifax.
Sfortunatamente, un Proof-of-Concept (PoC) sfruttare a CVE-2.018-11.776 è apparso su GitHub, al fianco di uno script Python che permette un facile sfruttamento, i ricercatori futuri registrati solo segnalati.
Che cosa fa un lavoro CVE-2.018-11.776 PoC medio?
Prima di tutto, i ricercatori dicono che ci sono stati parla di sfruttamento della nuova vulnerabilità Struts su una varietà di forum underground cinesi e russi. Come ha spiegato dagli esperti di sicurezza:
Apache Struts è un framework Java molto popolare e ci sono potenzialmente centinaia di milioni di sistemi vulnerabili che potrebbero essere sfruttate da questo difetto. La sfida è nell'identificare come molti sistemi sono vulnerabili. Poiché molti dei server che eseguono Apache Struts sono i server di applicazioni back-end, essi non sono sempre facilmente identificabili, anche da parte dei proprietari del sistema.
Tuttavia, questo non significa necessariamente che il server non sono accessibili al pubblico da parte di hacker. Nella maggior parte dei casi, gli scanner saranno ingannare i server a tornare una traccia dello stack Java come un modo di identificare potenziali server Struts. Ma altri trucchi sono possibili anche come ricerca di specifici file o directory.
Inoltre, il nuove vulnerabilità Struts sembra essere più facile da sfruttare in quanto non richiede l'installazione di Apache Struts per avere un qualsiasi plugin aggiuntivi in corsa per l'exploit di prendere posto, i ricercatori hanno aggiunto.
I ricercatori hanno anche avvertito che se la CVE-2.018-11.776 PoC pubblicato su GitHub è infatti uno pienamente funzionante, e le aziende non hanno patchato contro di esso ancora, il risultato sarebbe devastante. Quanto alla questione se il PoC è affidabile o no, CEO Semmle Jan de Moor [l'amministratore delegato della società che ha scoperto la falla] ha rifiutato di confermare la natura del PoC. Ciò che ha detto però è che se si tratta di un lavoro di PoC, gli hacker hanno ora un modo più rapido e molto efficace in un'impresa.
La buona notizia è che se un'impresa è in grado di aggiornare immediatamente per una serie di motivi, ci sono ancora modi per mitigare contro l'exploit, come il seguente soluzione:
Verificare di aver impostato (e sempre, non ha dimenticato di impostare) namespace (se è applicabile) per le tutti i risultati definiti nelle configurazioni sottostanti. verificare inoltre che è stata impostata (e sempre, non ha dimenticato di impostare) valore o di azione per tutti i tag URL nel JSP. Entrambi sono necessari solo quando la loro azione superiore(s) configurazioni non hanno o namespace jolly.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: