Эксплойты в сети: Apache Struts открывает доступ к сетям госструктур

Критическая уязвимость в Apache Struts 2 активно используется злоумышленниками с применением публичных эксплойтов для поиска уязвимых устройств.

Apache Struts представляет собой фреймворк с открытым исходным кодом для создания веб-приложений на Java. Struts применяют различные организации, включая госструктуры, платформы e-commerce, финансовые учреждения и авиакомпании.

Недавно Apache официально раскрыл информацию о CVE-2024-53677 (оценка CVSS: 9.5), которая была обнаружена в логике загрузки файлов. Проблема затрагивает версии Struts 2.0.0–2.3.37 (устаревшие), 2.5.0–2.5.33 и 6.0.0–6.3.0.2. Как отмечается в бюллетене безопасности Apache, манипуляция параметрами загрузки файлов позволяет выполнить Path Traversal, а в некоторых случаях — загрузить вредоносный файл, который может быть использован для выполнения удалённого кода (Remote Code Execution, RCE).

На практике уязвимость предоставляет возможность загружать веб-оболочки в защищённые директории. Файлы могут использоваться для выполнения команд, загрузки дополнительных вредоносных компонентов и кражи данных. Эксперты сравнивают уязвимость с CVE-2023-50164, указывая на вероятность повторного появления аналогичной проблемы из-за неполного исправления.

ISC SANS зафиксировал попытки атак, в которых используются публично доступные эксплойты. На данный момент попытки направлены на перечисление уязвимых систем. Хакеры используют эксплойты для загрузки файла «exploit.jsp», содержащего единственную строку кода, которая выводит текст «Apache Struts». Затем атакующие проверяют доступ к скрипту, чтобы убедиться в успешной атаке. Эксплуатация на данный момент зафиксирована только с одного IP-адреса: 169.150.226.162.

Для защиты Apache рекомендует обновиться до версии Struts 6.4.0 или выше и перейти на новый механизм загрузки файлов. Применение только лишь исправления недостаточно: код, связанный с загрузкой файлов, требует переработки для использования нового механизма. В Apache предупреждают, что старая система загрузки файлов сохраняет уязвимость. Организациям, использующим Struts, необходимо адаптировать действия и связанные с ними перехватчики, чтобы минимизировать риск.

Активная эксплуатация уязвимости привлекла внимание национальных агентств по кибербезопасности в Канаде , Австралии и Бельгии . Страны выпустили предупреждения с призывом к разработчикам ПО принять незамедлительные меры.