В веб-фреймворке Apache Struts 2 обнаружена RCE-уязвимость

Apache Struts 2 — это открытый фреймворк для разработки веб-приложений на Java. Он широко используется для создания корпоративных веб-сайтов в сфере образования, финансов и медиа. Вчера эксперты безопасности из Cisco Talos опубликовали доклад о 0-day уязвимости в этом фреймворке.

В чем суть этой уязвимости?

Уязвимость позволяет злоумышленникам выполнять вредоносный код на веб-серверах без аутентификации.

Еще хуже то, что для эксплуатации уязвимости даже не нужно загружать зловредные файлы через парсер Jakarta Multipart (баг в котором, кстати, исправили только в понедельник). Согласно докладу Qualys, простого присутствия на сервере данного компонента, который является частью фреймворка Struts, уже достаточно для появления угрозы.

Что делать?

Компании, использующие Apache Struts 2, должны обновить его до версий 2.3.32 или 2.5.10.1 как можно быстрее.

По данным исследователей из Cisco Talos, уязвимостью уже успели воспользоваться немалое количество раз. Некоторые из злоумышленников просто запускали Linux-команду whoami для определения прав пользователей. Другие же пошли дальше и останавливали файрвол Linux и загружали ELF-программу, которая после этого выполнялась на сервере.

Пользователям, которые в данный момент не могут обновиться до нужной версии фреймворка, доступен обходной путь: им необходимо создать Servlet-фильтр для Content-Type, который будет отклонять любые запросы, не соответствующие multipart/form-data. Файрволы также предоставляют возможность блокировать запросы такого рода.

Источник: InfoWorld