На прошлой неделе Apache Software Foundation (ASF) пропатчила критическую уязвимость удаленного исполнения кода, затрагивающую все версии популярного фреймворка Struts начиная с 2008 года. По данным компании Semmle, специализирующейся на анализе программных кодов, данной уязвимости (CVE-2017-9805) подвержены все созданные на базе Struts веб-приложения, использующие плагин REST.

«Эта уязвимость позволяет удаленно исполнить произвольный код на сервере с приложением, построенным с использованием фреймворка Struts и популярного плагина REST, — сказано в блог-записи Semmle, специалисты которой обнаружили RCE-баг. — Уязвимость вызвана ошибкой, возникающей при десериализации недоверенных данных». Согласно бюллетеню ASF, эксплойт возможен, когда плагин REST использует обработчик XStream для десериализации XML-блоков.

Пользователей призывают произвести обновление до Struts 2.5.13 или 2.3.34 в кратчайшие сроки. В качестве альтернативы ASF рекомендует удалить Struts-плагин REST, если в нем нет нужды, или ограничить его использование обычными серверными страницами и JSON.

«Ситуация очень серьезная: в случае удаленной атаки эксплуатация новоявленной уязвимости может причинить большой ущерб тысячам предприятий», — предупреждает Уге де Мор (Oege de Moor), генеральный директор и учредитель Semmle.

По некоторым оценкам, CVE-2017-9805 актуальна для 65% компаний списка Fortune 100. «Известно, что такие организации, как Lockheed Martin, the IRS, Citigroup, Vodafone, Virgin Atlantic, Reader’s Digest, Office Depot и Showtime, разрабатывали приложения, используя этот фреймворк, — пишет исследователь Бас ван Схайк (Bas van Schaik) в блоге Semmle. — Это показывает, насколько велик риск».

В Semmle создали «простейший» рабочий эксплойт к CVE-2017-9805, но не торопятся его публиковать. С выходом патча появились и другие аналогичные разработки, которые, к сожалению, уже преданы огласке.

В Struts и ранее объявлялись уязвимости. Так, минувшей весной наблюдались многочисленные попытки эксплуатации CVE 2017-5638 в этом фреймворке, хотя его разработчики быстро залатали брешь. Позднее появилось сообщение об атаках на серверы Windows с целью установки вымогателя Cerber через аналогичный эксплойт.

Категории: Главное, Уязвимости