Apache Struts, o vulnerabilitate exploatată de hackeri pentru a compromite servere web corporate

Apache Strusts este un cadru de dezvoltare web open-source pentru aplicațiile web Java. Este folosit pe scară largă pentru a construi site-uri corporate în sectoare precum educație, guvern, servicii financiare, retail și media. Vulnerabilitatea permitea executarea codurilor malițioase pe servere, fără autentificare. Aceasta a fost exploatată pe scară largă de către hackeri, până recent când a fost remediată.

Remedierea Apache Strusts a avut loc luni, după ce a apărut un exploit pentru o defecțiune pe site-urile în limba chineză, urmat imediat de atacuri reale, potrivit cercetătorilor Cisco Systems. Vulnerabilitatea cu impact ridicat a fost găsită în framework-ul Jakarta Multipart, era ușor de exploatat și permitea hackerilor să execute comenzi pe sistem cu privilegiile utilizatorului care rulează procese de server web. Sistemul este complet compromis dacă un server web este configurat să ruleze ca root, dar chiar și executarea codului ca utilizator low-priviliged prezintă o serioasă amenințare la adresa securității, de asemenea.

Companiile care folosesc Apache Struts pe serverele lor ar trebui să facă upgrade la versiunile 2.3.32 sau 2.5.10.1 cât mai curând posibil. Utilizatorii care nu pot face upgrade imediat la versiunile Struts remediate, pot aplica o soluție ce constă în crearea unui filtru Servlet pentru Content-Type, care va anula orice solicitare care nu se potrivește datelor multipart/form. Normele de aplicare ale firewall-ului web pentru blocarea acestor tipuri de cereri sunt disponibile din partea furnizorilor.

Deși unele soluții open-source sunt chiar bune și le recomandăm, acesta este unul dintre cazurile în care nu facem acest lucru și am fi preferat să plătim pentru un framework.

About Daniel

Senior tester înrăit de aplicații (iOS, Android sau web based); scriitor, grafician și programator de ocazie; senior salahor IT – sper că ne vom împrietenii uşor și că-ți vor plăcea articolele TechZip.

Leave a Reply

%d bloggers like this: