Apache emite patches para bug crítico do Struts 2 RCE.
Mais detalhes divulgados depois que os desenvolvedores permitiram semanas para aplicar as correções
Agora sabemos que a vulnerabilidade de execução remota de código no Apache Struts 2, divulgada em novembro, carrega uma classificação de gravidade quase máxima após a publicação do CVE.
De acordo com o National Vulnerability Database (NVD), que publicou o CVE na quarta-feira, o Apache classificou o CVE-2024-53677 como 9,5 usando a estrutura CVSSv4, enquanto a Tenable observou uma classificação de 9,8 usando o CVSSv3 – faça a sua escolha.
Considerando que invasores remotos podem explorar a vulnerabilidade sem exigir nenhum privilégio, combinado com o alto impacto na confidencialidade, integridade e disponibilidade do sistema, é provável que a Apache Foundation tenha retido os detalhes mais suculentos para permitir que os clientes atualizem para uma versão segura (Struts 6.4.0 ou superior).
Dado que um bug do Struts foi vinculado à violação “totalmente evitável” da Equifax em 2017, faz sentido estar do lado seguro.
Também não há solução alternativa disponível para CVE-2024-53677. É uma situação de remendo ou nada.
Descrevendo a falha, a Apache disse em seu comunicado: “Um invasor pode manipular parâmetros de upload de arquivo para permitir a passagem de caminhos e, em algumas circunstâncias, isso pode levar ao upload de um arquivo malicioso que pode ser usado para executar a execução remota de código”.
As versões afetadas incluem:
- Suportes 2.0.0… Escoras 2.3.37 (EOL)
- Suportes 2.5.0… Escoras 2.5.33
- Escoras 6.0.0… Escoras 6.3.0.2
Crucialmente, os aplicativos que não usam o componente File Upload Interceptor do Struts, que foi descontinuado a partir da versão 6.4.0 e removido totalmente na 7.0.0, não são afetados.
Como parte do processo de atualização, os usuários também foram aconselhados a atualizar seu mecanismo de upload de arquivos para o Action File Upload Interceptor, que substituiu o componente mencionado a partir da versão 6.4.0. O File Upload Interceptor foi descontinuado por vários motivos relacionados a opções de configuração, segurança, desempenho e recursos de integração.
Atualizar esse mecanismo não é tão fácil quanto aplicar uma atualização simples. Os usuários terão que reescrever suas ações para garantir a compatibilidade com o Action File Upload, mas a alternativa não é aceitável. Como observa o Apache: “Usar o antigo mecanismo de upload de arquivos mantém você vulnerável a esse ataque”.
Apesar dos desenvolvedores de aplicativos da web muitas vezes optarem por estruturas diferentes hoje em dia, o Struts 2 continua amplamente popular. Quando a Sonatype analisou o CVE-2023-50164 no ano passado, uma vulnerabilidade semelhante ao CVE-2024-53677 tanto em natureza quanto em criticidade, observou que o Struts 2 recebia cerca de 300.000 solicitações de download por mês e 80% delas continham o bug crítico.
A CISA lista oito vulnerabilidades do Apache Struts em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), sete das quais levam à execução remota de código e uma – CVE-2017-5638 (a Equifax) – conhecida por ser usada em ataques de ransomware.
Fonte: The Register
Veja também:
- Exploits e vulnerabilidades no 3º trimestre de 2024
- Os códigos QR ignoram o isolamento do navegador para comunicação C2 maliciosa
- Black Basta Ransomware evolui
- Ataques de Engenharia Social sofisticados com IA
- 2025: ano crucial para investir em planos de disaster recovery
- Custo médio global de uma violação de dados atingiu US$ 4,88 milhões
- Criminosos roubaram credenciais da AWS
- Google Workspace Sync desatualizado bloqueia atualizações do Windows 11 24H2
- Da confiança à tecnologia: o pilar da cibersegurança nos bancos modernos
- Vulnerabilidade de implantação/inicialização do HCL DevOps
- Vídeo ‘viraliza’ por mulher se recusar a ceder janela de avião
- Deloitte responde após grupo de ransomware alegar roubo de dados
Be the first to comment