CVE-2023-50164 比 2017 年导致 Equifax 大规模漏洞的 Struts 漏洞更难利用,但不要低估攻击者将其用于针对性攻击的可能性。
最近 Apache Struts 2 中一个关键远程执行 (RCE) 漏洞的披露引起了广泛关注,攻击者在过去几天一直在积极利用该漏洞。
Apache Struts 是一个广泛使用的开源框架,用于构建 J**A 应用程序。 开发人员可以使用它来构建基于模型-视图-控制器 (MVC) 架构的模块化 Web 应用程序。 Apache 软件协会 (ASF) 于 12 月 7 日披露了该漏洞,并给它打了 9 分8 分(满分 10 分)接近最高严重性级别。 该漏洞被标识为 CVE-2023-50164,与 Struts 如何处理文件上传中的参数有关,并为攻击者提供了一种完全控制受影响系统的方法。
该漏洞因其无处不在、可远程执行以及其概念验证漏洞**是公开的,因此引起了相当大的关注。 自上周披露该漏洞以来,多家供应商以及 ShadowServer 等实体都报告说发现了针对该漏洞的利用活动的迹象。
ASF 本身将 Apache Struts 描述为拥有庞大的用户群,因为它已经存在了二十多年。 安全专家估计,全球有数千个基于 Apache Struts 的应用程序,包括许多财富 500 强公司和组织以及关键基础设施部门使用的应用程序。
许多最好的供应商的技术也集成了 Apache Struts 2。 例如,思科目前正在调查可能受该漏洞影响的所有产品,并计划根据需要发布更多信息和更新。 审查的产品包括思科的网络管理和技术、语音和统一通信产品,以及其客户协作平台。
此漏洞影响 Struts 版本 25.0 ~ 2.5.32 个以及 6 个支柱版本0.0 ~ 6.3.0。该错误也存在于支柱 2 中0.0 至 支柱 23.在 37 个版本中,这些版本现在已经到了生命的尽头。
ASF、安全供应商和美国网络安全和信息安全局 (CISA) 等实体建议使用该软件的组织立即更新到 Struts 25.33 或支柱 63.0.2 或更高版本。 根据 ASF 的说法,此漏洞没有可用的缓解措施。
近年来,研究人员在支柱中发现了许多缺陷。 其中最严重的是 2017 年的 CVE-2017-5638,它影响了数千个组织,并导致 Equifax 发生数据泄露,暴露了 143 亿美国消费者的敏感数据。 这个漏洞实际上仍然存在。 例如,使用刚刚发现的 Nkabuse 区块链恶意软件的活动正在利用它进行初始访问。
趋势科技的研究人员本周分析了新的Apache Struts漏洞,他们将其描述为一个危险的漏洞,但比2024年的漏洞更难大规模利用,后者只不过是一个扫描和漏洞利用问题。
“CVE-2023-50164 漏洞继续被各种威胁行为者广泛利用,他们滥用它来执行恶意活动,使其成为全球组织的重大安全风险,”趋势科技研究人员表示。 该漏洞实质上允许攻击者操纵文件上传参数以启用路径遍历,这可能导致上传恶意文件,从而实现远程执行。 ”
Akamai在一份报告中总结了其对威胁的分析,指出要利用该漏洞,攻击者首先需要扫描并识别使用易受攻击的Apache Struts版本的**或Web应用程序。 然后,他们需要发送特制的请求,将文件上传到易受攻击的 ** 或 Web 应用程序。 该请求将包含隐藏的命令,这些命令将导致易受攻击的系统将文件放置在攻击者可以访问的位置或目录中,并在受影响的系统上触发恶意执行。