ИБ-специалист рассказал о критической уязвимости в Apache Struts
Она позволяла запускать вредоносный код на серверах и взламывать веб-приложения. Данные о уязвимости раскрыты спустя 4 месяца после обнаружения.
Сотрудник компании Semmle Мань Юэ Мо (Man Yue Mo) раскрыл подробности об уязвимости CVE-2018-11776 в фреймворке для создания веб-приложений Apache Struts. Проблема была обнаружена в апреле 2018 года и позволяла удаленно запустить вредоносный код и захватить контроль над веб-сервером.
Метод эксплуатации уязвимости
Проблема заключалась в конфигурации фреймворка, которая допускала ошибки при проверке достоверности вводимых данных в двух случаях:
- если во флаге
alwaysSelectFullNamespaceстоял параметрtrue; - если теги
actionиurlне содержали атрибут пространства имен или вместо них использовались подстановочные символы.
Атака начиналась с перехода по предварительно настроенной ссылке на уязвимом веб-сервере. Далее перед злоумышленниками открывалась возможность запустить вредоносный код для захвата контроля над приложением.
Уязвимость присутствовала во всех веб-приложениях на основе версий Apache Struts 2.3 до Struts 2.5.16. При правильной настройке конфигурационного файла приложение могло быть неуязвимым, но риск взлома повышался даже при внесении малейших изменений. Разработчики исправили ошибку в версиях Apache Struts 2.3.35 и 2.5.17.
Это не первая проблема, обнаруженная в фреймворке. В марте 2018 года сотрудники Cisco Talos рассказали о методе запуска произвольного кода с обходом процесса аутентификации.