Apache Struts 2’de, saldırganların son birkaç gündür aktif olarak istismar ettiği, yakın zamanda açıklanan kritik bir uzaktan kod yürütme (RCE) güvenlik açığına ilişkin endişeler oldukça yüksek.
Apache Struts, Java uygulamaları oluşturmak için yaygın olarak kullanılan açık kaynaklı bir çerçevedir. Geliştiriciler bunu Model-View-Controller (MVC) mimarisi olarak bilinen mimariyi temel alan modüler Web uygulamaları oluşturmak için kullanabilirler. Apache Yazılım Vakfı (ASF) hatayı açıkladı 7 Aralık’ta CVSS ölçeğinde 10 üzerinden 9,8’lik maksimuma yakın şiddet derecesi verdi. Şu şekilde izlenen güvenlik açığı: CVE-2023-50164 Struts’un dosya yüklemelerindeki parametreleri nasıl ele aldığı ve saldırganlara etkilenen sistemlerin tam kontrolünü ele geçirmesi için bir yol sağladığı ile ilgilidir.
Java Uygulamalarını Etkileyen Yaygın Bir Güvenlik Sorunu
Kusur, yaygınlığı, uzaktan çalıştırılabilir olması ve kavram kanıtı yararlanma kodunun kamuya açık olması nedeniyle ciddi endişe uyandırdı. Kusurun geçen hafta açıklanmasından bu yana, birden fazla satıcı ve Gölge Sunucusu – kusuru hedef alan istismar faaliyeti belirtileri gördüklerini bildirdiler.
ASF’nin kendisi Apache Struts’u yirmi yılı aşkın bir süredir piyasada olması nedeniyle “devasa bir kullanıcı tabanına” sahip olarak tanımladı. Güvenlik uzmanları, Apache Struts’u temel alan, hükümet ve kritik altyapı sektörlerindeki birçok Fortune 500 şirketi ve kuruluşunda kullanılanlar da dahil olmak üzere dünya çapında binlerce uygulamanın bulunduğunu tahmin ediyor.
Birçok satıcı teknolojisi Apache Struts 2’yi de içerir. Örneğin Cisco, şu anda araştırılıyor Hatadan etkilenmesi muhtemel tüm ürünler ve gerektiğinde ek bilgi ve güncellemeler yayınlamayı planlıyor. İncelenen ürünler arasında Cisco’nun ağ yönetimi ve provizyon teknolojileri, ses ve tümleşik iletişim ürünleri ve müşteri işbirliği platformu yer alıyor.
Güvenlik açığı, Struts’un 2.5.0 ila 2.5.32 sürümlerini ve Struts 6.0.0 ila 6.3.0 sürümlerini etkiliyor. Hata aynı zamanda artık kullanım ömrünün sonuna gelmiş olan Struts 2.0.0 ila Struts 2.3.37 sürümlerinde de mevcut.
ASF, güvenlik satıcıları ve ABD Siber Güvenlik ve Bilgi Güvenliği Ajansı (CISA), yazılımı kullanan kuruluşların derhal Struts 2.5.33 veya Struts 6.3.0.2 veya daha üst bir sürüme güncelleme yapmalarını tavsiye etmiştir. ASF’ye göre güvenlik açığına yönelik herhangi bir azaltım mevcut değil.
Son yıllarda araştırmacılar Struts’ta çok sayıda kusur ortaya çıkardılar. Kolayca bunlardan en önemlisi şuydu: CVE-2017-5638 2017’de binlerce kuruluşu etkileyen ve Equifax’ta 143 milyon ABD’li tüketiciye ait hassas verilerin açığa çıkmasına neden olan bir ihlale yol açan olay. Bu hata aslında hala ortalıkta dolaşıyor; yeni keşfedilen kampanyaları kullanan kampanyalar NKAbuse blockchain kötü amaçlı yazılımı, örneğin, ilk erişim için bunu kullanıyorlar.
Tehlikeli Bir Apache Struts 2 Hatası, Ancak İstismarı Zor
Bu hafta yeni Apache Struts güvenlik açığını analiz eden Trend Micro araştırmacıları bunu tehlikeli ama bir o kadar da zor bir yol olarak tanımladı bir tarama ve yararlanma sorunundan biraz daha fazlası olan 2017 hatasından daha geniş ölçekte yararlanmaya yönelikti.
Trend Micro araştırmacıları, “CVE-2023-50164 güvenlik açığı, bu güvenlik açığını kötü amaçlı faaliyetler gerçekleştirmek için kötüye kullanan çok çeşitli tehdit aktörleri tarafından yaygın şekilde kullanılmaya devam ediyor ve bu da onu dünya çapındaki kuruluşlar için önemli bir güvenlik riski haline getiriyor.” dedi.
Bu kusur temel olarak bir saldırganın yol geçişini etkinleştirmek için dosya yükleme parametrelerini değiştirmesine izin veriyor: “Bu potansiyel olarak kötü amaçlı bir dosyanın yüklenmesine neden olabilir ve uzaktan kod yürütülmesine olanak sağlayabilir” diye belirttiler.
Akamai, bu kusurdan yararlanmak için, bir saldırganın öncelikle savunmasız bir Apache Struts sürümünü kullanarak web sitelerini veya Web uygulamalarını taraması ve tanımlaması gerektiğini söyledi. Tehdit analizini özetleyen rapor Bu hafta. Daha sonra, güvenlik açığı bulunan siteye veya Web uygulamasına bir dosya yüklemek için özel hazırlanmış bir istek göndermeleri gerekir. İstek, savunmasız sistemin dosyayı saldırının erişebileceği bir konum veya dizine yerleştirmesine ve etkilenen sistemde kötü amaçlı kod yürütülmesini tetiklemesine neden olacak gizli komutlar içerecektir.
“Akamai’nin kıdemli güvenlik araştırmacısı Sam Tinklenberg, “Web uygulamasının kötü amaçlı çok parçalı dosya yüklemesini etkinleştirmek için belirli eylemlerin uygulanması gerekir” diyor ve şöyle devam ediyor: “Bunun varsayılan olarak etkin olup olmadığı Struts 2’nin uygulanmasına bağlıdır. Gördüklerimize göre, bunun varsayılan olarak etkinleştirilmiş bir şey olmaması daha muhtemeldir.”
CVE-2023-50164 için İki PoC Exploit Varyantı
Akamai, şu ana kadar halka açık PoC’yi kullanarak CVE-2023-50164’ü hedef alan saldırılar gördüğünü ve orijinal PoC’nin bir çeşidi gibi görünen başka bir dizi saldırı faaliyeti gördüğünü söyledi.
Tinklenberg, “İki saldırı dizisi arasında istismar mekanizması aynı” diyor. “Ancak farklı olan öğeler, istismar girişiminde kullanılan uç nokta ve parametrelerdir.”
Tinklenberg, bir saldırganın güvenlik açığından başarıyla yararlanabilmesi için gereken gereksinimlerin uygulamaya göre önemli ölçüde değişebileceğini ekliyor. Bunlar arasında, güvenlik açığı olan bir uygulamanın dosya yükleme işlevini etkinleştirmesi ve kimliği doğrulanmamış bir kullanıcının dosya yüklemesine izin vermesi de yer alıyor. Güvenlik açığı bulunan bir uygulama yetkisiz kullanıcı yüklemelerine izin vermiyorsa, saldırganın başka yollarla kimlik doğrulama ve yetkilendirme alması gerekir. Saldırganın ayrıca güvenlik açığı bulunan dosya yükleme işlevini kullanarak uç noktayı tanımlaması gerektiğini söylüyor.
Qualys güvenlik açığı ve tehdit araştırması yöneticisi Saeed Abbasi, Apache Struts’taki bu güvenlik açığının, önceki kusurlarla karşılaştırıldığında büyük ölçekte kolaylıkla istismar edilemese de, bu kadar geniş çapta benimsenen bir çerçevedeki varlığının kesinlikle önemli güvenlik endişelerini artırdığını söylüyor.
“Bu özel güvenlik açığı, karmaşıklığı ve istismar için gereken özel koşullar nedeniyle öne çıkıyor ve yaygın saldırıları zor ama mümkün kılıyor” diye belirtiyor. “Apache Struts’un çeşitli kritik sistemlere kapsamlı entegrasyonu göz önüne alındığında, hedefli saldırıların potansiyeli hafife alınamaz.”
