Semana passada, nós relatado sobre CVE-2018-11776, uma nova vulnerabilidade altamente crítica residente em funcionalidade principal do Apache Strut, Também descrito como uma vulnerabilidade de execução remota de código que afeta todas as versões do Apache Struts 2. A falha está localizada na estrutura da Web de código aberto, e de acordo com especialistas em segurança, pode exceder os danos que testemunhamos no ano passado durante a violação da Equifax.
Infelizmente, uma prova de conceito (PoC) exploit para CVE-2018-11776 apareceu no GitHub, ao lado de um script Python que permite fácil exploração, Pesquisadores do futuro registrado acabaram de relatar.
O que significa um PoC CVE-2018-11776 funcional?
Em primeiro lugar, pesquisadores dizem que tem havido conversas sobre a exploração da nova vulnerabilidade do Struts em uma variedade de fóruns clandestinos chineses e russos. Como explicado pelos especialistas em segurança:
Apache Struts é um framework Java muito popular e existem potencialmente centenas de milhões de sistemas vulneráveis que podem ser explorados por esta falha. O desafio é identificar quantos sistemas são vulneráveis. Porque muitos dos servidores que executam Apache Struts são servidores de aplicativos backend, eles nem sempre são facilmente identificados, até mesmo pelos proprietários do sistema.
Contudo, isso não significa necessariamente que os servidores não sejam acessíveis publicamente por hackers. Na maioria dos casos, scanners enganarão os servidores para que retornem um rastreio de pilha Java como uma forma de identificar potenciais servidores Struts. Mas outros truques também são possíveis, como procurar arquivos ou diretórios específicos.
além disso, a nova vulnerabilidade do Struts parece ser mais fácil de explorar porque não requer a instalação do Apache Struts para ter nenhum plug-in adicional em execução para que a exploração ocorra, os pesquisadores acrescentaram.
Os pesquisadores também avisaram que se o CVE-2018-11776 PoC publicado no GitHub é de fato um totalmente funcional, e as empresas ainda não o corrigiram, o resultado seria devastador. Se o PoC é confiável ou não, Oege de Moor, CEO da Semmle [o CEO da empresa que descobriu a falha] recusou-se a confirmar a natureza do PoC. O que ele disse, no entanto, é que se for um PoC funcional, os hackers agora têm uma maneira mais rápida e eficaz de entrar em uma empresa.
A boa notícia é que, se uma empresa não consegue atualizar imediatamente por uma série de razões, ainda existem maneiras de mitigar a exploração, tal como a seguir Gambiarra:
Verifique se você definiu (e sempre não esqueci de definir) namespace (se é aplicável) para todos os seus resultados definidos em configurações subjacentes. Verifique também se você definiu (e sempre não esqueci de definir) valor ou ação para todas as tags de url em seus JSPs. Ambos são necessários apenas quando sua ação superior(s) as configurações não têm namespace ou curinga.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: