Atacurile împotriva Apache Struts (CVE-2018-11776)

Mai multe coduri de exploatare au fost publicate pe Internet pentru vulnerabilitatea Apache Struts CVE-2018-11776 descrise în avizul CERT-IST / AV-2018.094. Unele surse afirmă că primele atacuri au fost deja lansate.

Vulnerabilitatea este critică (executarea de cod de la distanță) și ar putea duce la compromiterea completă ale serverelor Struts unde nu au fost încă aplicate patch-uri Apache.

Această vulnerabilitate se datorează validării insuficiente a unui spațiu de nume ca parametru într-o cerere HTTP, care poate fi orice șir de caractere OGNL (Object-Graph Navigation Language). Aceasta permite atacatorilor, injectarea propriului lor spațiu de nume ca parametru într-o adresă URL special create şi trimisă sistemului vulnerabil, să execute un cod arbitrar în contextul de securitate utilizat de Struts.

În majoritatea cazurilor, nu este necesară autentificarea pentru a exploata vulnerabilitatea.

Este important să rețineți însă că vulnerabilitatea nu este exploatabilă în configurația implicită. Următoarele două condiții trebuie îndeplinite pentru ca un sistem să fie vulnerabil la atac:
• Opţiunea "alwaysSelectFullNamespace" este setat la "true".
• Aplicația Struts utilizează "acțiuni" care sunt configurate fără a specifica un spațiu de nume sau cu un spațiu de nume wildcard.
Orange Moldova CERT recomandă aplicarea patch-urilor Apache așa cum este descris în avizul CERT-IST / AV-2018.0940 pe link-ul de mai jos.
https://wws.cert-ist.com/private/en/advisory_detail?format=html&objectType=AV&ref=CERT-IST/AV-2018.0940.