Cyberprzestępcy coraz częściej próbują wykorzystać niedawno ujawnioną lukę bezpieczeństwa w Apache Struts, która może prowadzić do zdalnego wykonywania kodu (Remote Code Execution, RCE). Luka ta, oznaczona jako CVE-2024-53677, posiada bardzo wysoki wynik CVSS równy 9,5 na 10, co zaklasyfikowano jako krytyczne zagrożenie. Podobieństwo tego błędu do wcześniejszej luki, CVE-2023-50164, którą również aktywnie wykorzystywano krótko po jej ujawnieniu, wzmacnia obawy dotyczące bezpieczeństwa aplikacji korzystających z Apache Struts.
Źródłem problemu jest sposób, w jaki Apache Struts obsługuje parametry przesyłania plików. Jak wynika z poradnika wydanego przez Apache, atakujący mogą manipulować tymi parametrami, aby umożliwić przekierowanie ścieżek (path traversal), co w określonych warunkach pozwala na przesyłanie złośliwych plików. W konsekwencji, takie pliki mogą być wykorzystywane do wykonywania złośliwego kodu, pobierania danych lub instalowania dodatkowych ładunków w celu dalszego nadużycia.
Zagrażająca luka dotyczy wersji:
- Struts 2.0.0 – Struts 2.3.37 (wersje niewspierane),
- Struts 2.5.0 – Struts 2.5.33,
- Struts 6.0.0 – Struts 6.3.0.2.
Problem został zażegnany w wersji Struts 6.4.0 lub nowszej. Użytkownicy starszych wydań są narażeni na ryzyko i powinni jak najszybciej zaktualizować swoje oprogramowanie.
Ekspert ds. cyberbezpieczeństwa, dr Johannes Ullrich z SANS Technology Institute, uważa, że problem mógł wynikać z niekompletnego załatania wcześniejszej luki (CVE-2023-50164). Wskazuje na faktyczne próby wykorzystania publicznie dostępnego proof-of-concept (PoC) do identyfikacji podatnych systemów. Dane zebrane przez Ullricha pokazują, że próby te pochodzą z konkretnych adresów IP i mają na celu weryfikację dostępności przesłanych skryptów.
Apache Struts jest fundamentem wielu kluczowych aplikacji, zarówno publicznych, jak i wewnętrznych. Jego zastosowania obejmują portale publiczne, aplikacje produktywnościowe oraz systemy wspierające kluczowe procesy biznesowe. Jak zauważa Saeed Abbasi, menedżer produktu w Threat Research Unit w Qualys, tak powszechna popularność tej technologii sprawia, że jej podatności mogą mieć daleko idące konsekwencje. Dlatego wszelkie problemy bezpieczeństwa z nią związane należy traktować z najwyższą powagą.
Aby ograniczyć ryzyko, użytkownicy powinni jak najszybciej zaktualizować swoje implementacje Apache Struts do najnowszej wersji, która zawiera poprawki na omawianą lukę. Dodatkowo zaleca się zastosowanie nowego mechanizmu Action File Upload oraz związanych z nim interceptorów. Dbanie o bezpieczeństwo w ekosystemach opartych na Struts to klucz do minimalizowania ryzyka i skutecznej ochrony zarówno danych, jak i systemów przed potencjalnymi atakami.