Vorige week, wij gerapporteerd over CVE-2018-11.776, een nieuwe, uiterst kritieke kwetsbaarheid die woonachtig zijn in de kernfunctionaliteit Apache Strut's, ook beschreven als een uitvoeren van externe code dat alle ondersteunde versies van Apache Struts beïnvloedt 2. De fout ligt in het open source web framework, en volgens beveiligingsexperts, het kan de schade die we vorig jaar hebben meegemaakt tijdens de Equifax inbreuk overschrijdt.
Helaas, Proof of Concept (PoC) exploiteren voor CVE-2018-11.776 is verschenen op GitHub, naast een Python-script dat gemakkelijk exploitatie mogelijk maakt, Recorded Future onderzoekers net gemeld.
Wat doet een Working CVE-2018-11.776 PoC Mean?
Allereerst, onderzoekers zeggen dat er gesproken over de exploitatie van de nieuwe Struts kwetsbaarheid zijn geweest op een verscheidenheid van Chinese en Russische ondergrondse fora. Als toegelicht door de security experts:
Apache Struts is een zeer populaire Java framework en er zijn mogelijk honderden miljoenen kwetsbare systemen die kunnen worden uitgebuit door deze fout. De uitdaging is bij het identificeren van hoe veel systemen zijn kwetsbaar. Omdat veel van de servers waarop Apache Struts backend-applicatieservers, ze zijn niet altijd gemakkelijk te herkennen, zelfs door het systeem eigenaars.
Echter, Dit betekent niet noodzakelijk dat de servers zijn niet openbaar toegankelijk door hackers. Meestal, scanners zullen servers te verleiden tot het terugsturen van een Java-stack trace als een manier om het identificeren van potentiële Struts servers. Maar ook andere trucs zijn ook mogelijk, zoals het zoeken naar specifieke bestanden of mappen.
Bovendien, de nieuwe Struts kwetsbaarheid lijkt makkelijker te exploiteren omdat het niet vereist dat de installatie Apache Struts om extra plugins hebben draaien voor de exploit te laten plaatsvinden, de onderzoekers toegevoegd.
De onderzoekers waarschuwde ook dat als de CVE-2018-11.776 PoC gepubliceerd op GitHub is inderdaad een volledig functionerende één, en bedrijven hebben nog niet gepatcht tegen, de uitkomst zou zijn verwoestende. Of de PoC betrouwbaar is of niet, Semmle CEO Jan de Moor [de CEO van het bedrijf dat de fout ontdekt] weigerde de aard van de PoC bevestigen. Wat hij zei is echter dat als het is een werkende PoC, hackers hebben nu een snellere en een zeer effectieve manier tot een onderneming.
Het goede nieuws is dat als een onderneming in staat is om onmiddellijk bij te werken om een aantal redenen, er zijn nog steeds manieren om te verzachten tegen de exploit, zoals de volgende tijdelijke oplossing:
Controleer of u hebt ingesteld (en altijd niet vergeten in te stellen) namespace (indien van toepassing) voor alle gedefinieerde resultaten in de onderliggende configuraties. Controleer ook of u hebt ingesteld (en altijd niet vergeten in te stellen) waarde of actie voor alle url-tags in uw JSP. Beide zijn alleen nodig wanneer hun bovenste actie(s) configuraties hebben geen of wildcard namespace.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: