Поделиться
Обнаружена новая критическая уязвимость в фреймворке для Java. Ее эксплуатация идет полным ходом
Очередной «баг» в Struts 2 допускает загрузку посторонних файлов и исполнение произвольного кода. Разработчики настоятельно рекомендуют установить уже выпущенные обновления, поскольку, по данным Akamai, эксплуатация идёт полным ходом.
Критическая уязвимость, тривиальное исправление
Apache Foundation известил общественность о критической уязвимости в своем популярном фреймворке для веб-приложений Struts 2. Критическая уязвимость под индексом CVE-2023-50164 допускает запуск вредоносного кода в контексте Struts 2.
Проблема связана с ошибкой в «логике загрузки файлов», из-за чего возникает возможность обхода предназначенного пути, и, при определенных условиях, злоумышленники могут загрузить вредоносный файл и добиться запуска произвольного кода в нем.
Уязвимость обнаружил Стивен Сили из компании Source Incite. На текущий момент известно, что уязвимыми являются версии Struts 2.3.37 (устаревшая), Struts 2.5.0 - Struts 2.5.32 и Struts 6.0.0 - Struts 6.3.0.1.
Соответственно, исправления под индексом 2.5.33 и/или 6.3.0.2 погрешность устраняют. Процесс установки обновлений, по заверениям разработчиков, абсолютно тривиален.
Struts 2 представляет собой фреймворк для создания веб-приложений на языке Java. Его отличает более гибкая архитектура - Model-View-Controller (MVC), интегрированной поддержкой AJAX для создания интерактивных приложений, и т.д.
С пометкой «срочно»
Разработчики утверждают, что Struts оснащен встроенными механизмами обеспечения безопасности и защиты от атак, однако этот фреймворк регулярно оказывается в заголовках новостей, посвященных кибербезопасности, из-за очередного обнаружения в нём ошибок, в т.ч. критических.
В бюллетене Apache настоятельно рекомендовано установить последние обновления, чтобы устранить новообнаруженную уязвимость.
Тем более, что к ней уже готов пробный эксплойт: он был опубликован на GitHub и им уже пытаются пользоваться в реальных атаках.
Компания Akamai заявила изданию The Hacker News, что этой уязвимостью хакеры пытаются пользоваться для установки веб-шеллов и закрепления своего присутствия в чужих сетях. Судя по всему, как минимум в некоторых случаях эти попытки имеют успех.
«За обнаружением серьезных уязвимостей в Struts 2 регулярно следует всплеск хакерской активности», - говорит директор по информационной безопасности компании SEQ Анастасия Мельникова. По ее словам, совершенно закономерно, что это крайне популярный и востребованный фреймворк, чьи достоинства перевешивают недостатки и именно этим он и интересен хакерам, а поэтому к его поддержке необходимо относиться с удвоенным вниманием. «Пользователям Struts 2 действительно необходимо как можно скорее обновиться, т.к. других средств защититься от уязвимости нет», - заключила Анастасия Мельникова.
Короткая ссылка
