Alfonso Maruccia

Apache Struts 2, server a rischio

Individuato un grave bug di sicurezza in un componente del framework per lo sviluppo Web, un problema che inquieta i ricercatori e che risulta giÓ attivamente sfruttato da parte dei cyber-criminali. La patch Ŕ giÓ pronta

Roma - Apache Struts 2 è a rischio, e con esso lo sono gli amministratori di sistema e i gestori dei server accessibili online basati su di esso: classificato come CVE-2017-5638, il bug è potenzialmente in grado di compromettere la sicurezza dell'intero server e un codice di exploit perfettamente funzionante è già in circolazione nell'underground dei cyber-criminali.

Apache Struts 2 è un framework open source per lo sviluppo di applicazioni Web basate sul linguaggio Java (Enterprise Edition), mentre la vulnerabilità di sicurezza in oggetto è stata scovata all'interno della funzionalità di upload del parser Jakarta Multipart. La sola presenza del componente - anche senza l'implementazione della succitata funzionalità di upload - rende il server server vulnerabile, dicono i ricercatori.

Sfruttando la falla, i cyber-criminali sono in grado di eseguire comandi di sistema (e potenzialmente codice malevolo da remoto) con gli stessi privilegi di accesso dell'utente che ha avviato il processo del server Web: se tali privilegi corrispondono al livello "root" la compromissione è totale, ma anche a un livello inferiore la capacità di far danni rimane.
La falla è stata corretta con l'aggiornamento di Apache Struts dalla versione 2.3.32 alla 2.5.10.1, e l'installazione della nuova release è più che consigliato visto il rischio per i server Web: almeno 35 milioni di applicazioni remote risultano potenzialmente vulnerabili, e un exploit in grado di sfruttare il baco è comparso su siti Web in lingua cinese appena poche ore dopo la distribuzione della patch correttiva per Apache Struts.

I ricercatori di del team Talos di Cisco riferiscono di aver già individuato un gran numero di "eventi di abuso" della vulnerabilità, alcuni dei quali limitati all'esecuzione del comando "whoami" per determinare i privilegi di accesso del server Web attaccato. Ulteriori azioni condotte dai cyber-criminali dopo questo primo "sondaggio" includono la disabilitazione del firewall di Linux e il download di un file eseguibile in standard ELF da eseguire sul server.

Alfonso Maruccia
Notizie collegate
6 Commenti alla Notizia Apache Struts 2, server a rischio
Ordina