Apache emite patches para bug crítico do Struts 2 RCE

Apache emite patches para bug crítico do Struts 2 RCE.

Mais detalhes divulgados depois que os desenvolvedores permitiram semanas para aplicar as correções

Agora sabemos que a vulnerabilidade de execução remota de código no Apache Struts 2, divulgada em novembro, carrega uma classificação de gravidade quase máxima após a publicação do CVE.

De acordo com o National Vulnerability Database (NVD), que publicou o CVE na quarta-feira, o Apache classificou o CVE-2024-53677 como 9,5 usando a estrutura CVSSv4, enquanto a Tenable observou uma classificação de 9,8 usando o CVSSv3 – faça a sua escolha.

Considerando que invasores remotos podem explorar a vulnerabilidade sem exigir nenhum privilégio, combinado com o alto impacto na confidencialidade, integridade e disponibilidade do sistema, é provável que a Apache Foundation tenha retido os detalhes mais suculentos para permitir que os clientes atualizem para uma versão segura (Struts 6.4.0 ou superior).

Dado que um bug do Struts foi vinculado à violação “totalmente evitável” da Equifax em 2017, faz sentido estar do lado seguro.

Também não há solução alternativa disponível para CVE-2024-53677. É uma situação de remendo ou nada.

Descrevendo a falha, a Apache disse em seu comunicado: “Um invasor pode manipular parâmetros de upload de arquivo para permitir a passagem de caminhos e, em algumas circunstâncias, isso pode levar ao upload de um arquivo malicioso que pode ser usado para executar a execução remota de código”.

As versões afetadas incluem:

  • Suportes 2.0.0… Escoras 2.3.37 (EOL)
  • Suportes 2.5.0… Escoras 2.5.33
  • Escoras 6.0.0… Escoras 6.3.0.2

Crucialmente, os aplicativos que não usam o componente File Upload Interceptor do Struts, que foi descontinuado a partir da versão 6.4.0 e removido totalmente na 7.0.0, não são afetados.

Como parte do processo de atualização, os usuários também foram aconselhados a atualizar seu mecanismo de upload de arquivos para o Action File Upload Interceptor, que substituiu o componente mencionado a partir da versão 6.4.0. O File Upload Interceptor foi descontinuado por vários motivos relacionados a opções de configuração, segurança, desempenho e recursos de integração.

Atualizar esse mecanismo não é tão fácil quanto aplicar uma atualização simples. Os usuários terão que reescrever suas ações para garantir a compatibilidade com o Action File Upload, mas a alternativa não é aceitável. Como observa o Apache: “Usar o antigo mecanismo de upload de arquivos mantém você vulnerável a esse ataque”.

Apesar dos desenvolvedores de aplicativos da web muitas vezes optarem por estruturas diferentes hoje em dia, o Struts 2 continua amplamente popular. Quando a Sonatype analisou o CVE-2023-50164 no ano passado, uma vulnerabilidade semelhante ao CVE-2024-53677 tanto em natureza quanto em criticidade, observou que o Struts 2 recebia cerca de 300.000 solicitações de download por mês e 80% delas continham o bug crítico.

A CISA lista oito vulnerabilidades do Apache Struts em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), sete das quais levam à execução remota de código e uma – CVE-2017-5638 (a Equifax) – conhecida por ser usada em ataques de ransomware.

Fonte: The Register

Veja também:

About mindsecblog 2823 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!