Yakın zamanda yamalı bir kritik Apache Struts 2 güvenlik açığı, CVE-2024-53677 olarak izlenen güvenlik açığı, savunmasız cihazlar bulmak için kamu kavram kanıtı kullanılarak aktif olarak sömürülür.
Apache Struts, devlet kurumları, e-ticaret platformları, finansal kurumlar ve havayolları dahil olmak üzere çeşitli kuruluşlar tarafından kullanılan Java tabanlı web uygulamaları oluşturmak için açık kaynaklı bir çerçevedir.
Apache, Altı Gün Önce Struts CVE-2024-53677 Kusursuzluk (CVSS 4.0 Puan: 9.5, "Kritik") Struts'u açıkladı, yazılımın dosya yükleme mantığında bir hata olduğunu, yol travelerine izin vererek ve yönlendirebilecek kötü amaçlı dosyaların yüklenmesi olduğunu belirtti. uzaktan kod yürütme için.
2.0.0 ila 2.3.37 (ömrünün sonu), 2.5.0 ila 2.5.33 ve 6.0.0 ila 6.3.0.2 dikişlerini etkiler.
"Bir saldırgan, yolların geçişini etkinleştirmek için dosya yükleme parametrelerini manipüle edebilir ve bazı durumlarda bu, uzak kod yürütülmesini gerçekleştirmek için kullanılabilecek kötü amaçlı bir dosyanın yüklenmesine yol açabilir."
Kısacası, CVE-2024-53677, saldırganların web kabukları gibi tehlikeli dosyaları kısıtlı yönetmenlere yüklemesine ve bunları uzaktan komutları yürütmek, daha fazla yük indirmek ve verileri çalmak için kullanmalarına olanak tanır.
Güvenlik açığı CVE-2023-50164'e benzer ve aynı sorunun eksik bir düzeltme nedeniyle yeniden ortaya çıktığı yönündeki spekülasyonlar, geçmişte daha önce projeyi rahatsız eden bir sorun.
ISC Sans'ın araştırmacısı Johannes Ullrich, halka açık istismarları kullanan veya en azından onlardan ilham alan sömürü girişimlerini gördüğünü bildiriyor.
Ullrich, "POC istismar koduna uygun bu güvenlik açığı için aktif istismar girişimleri görüyoruz. Bu noktada, istismar girişimleri savunmasız sistemleri numaralandırmaya çalışıyor."
Saldırganlar, "Apache Struts" dizesini yazdırmak için tek bir kod satırını içeren bir "Exploit.jsp" dosyasını yüklemek için Sümbeyi kullanarak savunmasız sistemleri numaralandırıyor.
Daha sonra sömürücü, sunucunun başarıyla kullanıldığını doğrulamak için komut dosyasına erişmeye çalışır. Ullrich, sömürünün sadece tek bir IP adresinden tespit edildiğini söyledi: 169.150.226.162.
Riski azaltmak için Apache, kullanıcıların 6.4.0 veya daha sonraki Struts'a yükseltilmesi ve yeni dosya yükleme mekanizmasına geçmesi gerektiğini söylüyor.
Struts uygulamalarında dosya yüklemelerini işleyen kodun yeni eylem dosyası yükleme mekanizmasını uygulamak için yeniden yazılması gerektiğinden, yalnızca yamayı uygulamak yeterli değildir.
Apache, "Bu değişiklik, yeni eylem dosyası yükleme mekanizmasını ve ilgili önlemi kullanmaya başlamak için eylemlerinizi yeniden yazmanız gerektiğinden geriye dönük uyumlu değil."
"Eski dosya yükleme mekanizmasını kullanmaya devam edin, sizi bu saldırıya karşı savunmasız tutar."
Aktif sömürü devam ederken, Kanada, Avustralya ve Belçika da dahil olmak üzere birçok ulusal siber güvenlik ajansı, etkilenen yazılım geliştiricilerini derhal harekete geçirmeye çağıran kamu uyarıları yayınlamıştır.
Tam bir yıl önce, bilgisayar korsanları savunmasız dikiş sunucularına saldırmak ve uzaktan kod yürütme sağlamak için halka açık istismarlardan yararlandı.
Veri hırsızlığı saldırılarında sömürülen yeni Cleo sıfır gün RCE kusuru
Korunmasız eklentileri yüklemek için kullanılmış hunk companion wordpress eklentisi
Qualcomm sıfır gün hatalarına bağlı yeni Android novispy casus yazılım
CISA, Fidye Yazılımı Saldırılarında Kritik Cleo Böcek Sömürüsünü onaylıyor
Veeam servis sağlayıcı konsolundaki kritik RCE hatasını uyarıyor
Kaynak: Bleeping Computer