Atuantes maliciosos estão tentando explorar uma falha de segurança recentemente divulgada que afeta o Apache Struts, a qual poderia abrir caminho para a execução remota de códigos.
A questão, rastreada como
CVE-2024-53677
, tem uma pontuação CVSS de 9,5 em 10,0, indicando gravidade crítica.
A vulnerabilidade compartilha semelhanças com outro bug crítico que os mantenedores do projeto abordaram em dezembro de 2023 (CVE-2023-50164, pontuação CVSS: 9.8), que também foi rapidamente explorado após a divulgação pública.
"Um atacante pode manipular parâmetros de upload de arquivo para habilitar a transversal de caminhos e, em algumas circunstâncias, isso pode levar ao upload de um arquivo malicioso que pode ser usado para realizar Execução de Código Remoto," de acordo com o aviso da Apache.
Em outras palavras, a exploração bem-sucedida da falha pode permitir que um ator malicioso faça upload de payloads arbitrários em instâncias suscetíveis, o que poderia então ser aproveitado para executar comandos, exfiltrar dados ou baixar payloads adicionais para exploração subsequente.
A vulnerabilidade afeta as seguintes versões e foi corrigida no Struts 6.4.0 ou superior:
Struts 2.0.0 - Struts 2.3.37 (Fim de Vida),
Struts 2.5.0 - Struts 2.5.33, e
Struts 6.0.0 - Struts 6.3.0.2
Dr. Johannes Ullrich, decano de pesquisa do SANS Technology Institute, disse que um patch incompleto para o CVE-2023-50164 pode ter levado ao novo problema, adicionando que tentativas de exploração correspondendo ao proof-of-concept (PoC) publicado foram detectadas na prática.
"Neste ponto, as tentativas de exploração estão tentando enumerar sistemas vulneráveis," Ullrich observou. "Em seguida, o atacante tenta encontrar o script carregado. Até agora, as varreduras se originam apenas de 169.150.226[.]162."
Para mitigar o risco, recomenda-se que os usuários atualizem para a versão mais recente o mais rápido possível e reescrevam seu código para usar o novo mecanismo de Upload de Arquivos de Ação e interceptor relacionado.
"O Apache Struts está no coração de muitas pilhas de TI corporativas, impulsionando portais voltados ao público, aplicações de produtividade interna e fluxos de trabalho críticos para o negócio," disse Saeed Abbasi, gerente de produto da Unidade de Pesquisa de Ameaças na Qualys.
Sua popularidade em contextos de alto risco significa que uma vulnerabilidade como a
CVE-2024-53677
poderia ter implicações de grande alcance.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...