Een nieuwe kwetsbaarheid is ontdekt - het soort dat slechter zou kunnen blijken dan degene die de Equifax inbreuk getriggerd. De kwetsbaarheid is geïdentificeerd als CVE-2018-11.776, wonende in kernfunctionaliteit Apache Strut's. Het is een uitvoering van externe code beveiligingslek waar alle ondersteunde versies van Apache Struts invloed 2.
Equifax schending van vorig jaar betrokken ook een veiligheidslek in Apache Struts, zodat de ontdekking van een nog veel gevaarlijker maas in de wet is vrij alarmerend. De nieuwe kwetsbaarheid, CVE-2018-11.776, is gelegen in het open source web framework, en volgens de security experts het kon de schade die we getuige in overtreffen 2017.
CVE-2018-11.776 Technisch overzicht
Deze nieuwste Struts kwetsbaarheid was ontdekt door onderzoeker Man Yue Mo, die deel uitmaakt van het Semmle onderzoeksteam. CVE-2018-11776 gelegen in de kernfunctionaliteit van stutten, en het kan externe code wanneer het kader specifieke manieren geconfigureerd.
Volgens Glen Pendley, adjunct CTO bij Tenable, de kwetsbaarheid bestaat niet omwille van configuraties, maar toen het systeem is geconfigureerd op een bepaalde manier, aanvallers kunnen kwetsbaarheden in Struts exploiteren.
Zoals door Semmle:
Deze nieuwe beveiligingslek externe code van invloed op alle ondersteunde versies van Apache Struts 2. Een gepatchte versie is vandaag vrijgegeven. Gebruikers van Struts 2.3 wordt sterk aangeraden om te upgraden naar 2.3.35; gebruikers van Struts 2.5 upgraden naar 2.5.17. De kwetsbaarheid ligt in de kern van Apache Struts. Alle toepassingen die gebruik stutten potentieel kwetsbare, zelfs als er geen extra plugins zijn ingeschakeld.
Semmle's Security Research schat dat minstens 65% of Fortune 500 bedrijven maken gebruik van Struts in sommige van hun webapplicaties wat betekent dat de fout brede implicaties over het internet zou kunnen hebben.
Wat erger is, is dat blijkt dat het onderdeel van het kader dat CVE-2018-11.776 raakt is in potentie veel meer impact dan eerdere kwetsbaarheden. De eindpunten zijn veel meer op grote schaal gebruikt, in Pendley woorden.
Semmle onderzoekers samenwerkte met de Apache Foundation de fout beschrijven in een responsieve manier. Een set van software-updates is ook vrijgegeven, naast openbaarmaking van de kwetsbaarheid van.
Organisaties en ontwikkelaars die Struts gebruiken, worden dringend geadviseerd om hun Struts onderdelen meteen upgrade, Semmle waarschuwt. Vorige onthullingen van andere kritieke kwetsbaarheden hebben geresulteerd in exploits binnen een dag worden gepubliceerd, putting kritieke infrastructuur en klantgegevens in gevaar, voegt het bedrijf.
Vorig jaar, miljoenen Amerikaanse burgers hadden hun sofi-nummers gestolen als gevolg van een kritieke kwetsbaarheid uitgebuit in de beruchte Equifax Hack. De inbreuk op de beveiliging getroffen één van de grootste krediet rapportage bedrijven die actief zijn in de Verenigde Staten. Door de kwaadwillige inbreuk de hackers achter de aanslag konden informatie te verkrijgen over meer 40% van de bevolking van het hele land.