В веб-фреймворке Apache Struts 2 обнаружена RCE-уязвимость

Apache Struts 2 — это открытый фреймворк для разработки веб-приложений на Java. Он широко используется для создания корпоративных веб-сайтов в сфере образования, финансов и медиа. Вчера эксперты безопасности из Cisco Talos опубликовали доклад о 0-day уязвимости в этом фреймворке.

В чем суть этой уязвимости?

Уязвимость позволяет злоумышленникам выполнять вредоносный код на веб-серверах без аутентификации.

Еще хуже то, что для эксплуатации уязвимости даже не нужно загружать зловредные файлы через парсер Jakarta Multipart (баг в котором, кстати, исправили только в понедельник). Согласно докладу Qualys, простого присутствия на сервере данного компонента, который является частью фреймворка Struts, уже достаточно для появления угрозы.

Что делать?

Компании, использующие Apache Struts 2, должны обновить его до версий 2.3.32 или 2.5.10.1 как можно быстрее.

По данным исследователей из Cisco Talos, уязвимостью уже успели воспользоваться немалое количество раз. Некоторые из злоумышленников просто запускали Linux-команду whoami для определения прав пользователей. Другие же пошли дальше и останавливали файрвол Linux и загружали ELF-программу, которая после этого выполнялась на сервере.

Пользователям, которые в данный момент не могут обновиться до нужной версии фреймворка, доступен обходной путь: им необходимо создать Servlet-фильтр для Content-Type, который будет отклонять любые запросы, не соответствующие multipart/form-data. Файрволы также предоставляют возможность блокировать запросы такого рода.

Источник: InfoWorld

Вакансии в тему:

Лого компании «Finch»
Android-разработчик
Android-разработчик
Finch, Москва, от 80 000 до 150 000 ₽ (до налогов)
Лого компании «Додо Пицца»
Старший .NET разработчик
Старший .NET разработчик
Додо Пицца, Москва, от 100 000 до 250 000 ₽
Лого компании «CSBI»
Full-stack разработчик ASP.NET
Full-stack разработчик ASP.NET
CSBI, Санкт-Петербург, от 80 000 до 120 000 ₽
Лого компании «Банк Точка»
Android developer
Android developer
Банк Точка, Екатеринбург, 130 000 ₽