La vulnerabilidad crítica de Apache Struts RCE no se solucionó por completo

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apache ha solucionado una vulnerabilidad crítica en su proyecto Struts que es muy popular y que anteriormente se creía que se había resuelto, pero como resultado, no se remedió por completo.

Como tal, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) insta a los usuarios y administradores a actualizar a las últimas versiones parcheadas de Struts 2.

Struts es un marco de desarrollo de aplicaciones de código abierto que utilizan los desarrolladores web de Java para crear aplicaciones de modelo, vista y controlador (MVC).

La falla de ejecución remota de código (RCE) no se resolvió por completo

Esta semana, DHS CISA insta a las organizaciones a actualizar a la versión 2.5.30 (o superior) de Struts2, que corrige una vulnerabilidad crítica de inyección de OGNL.

Rastreada como CVE-2021-31805, la vulnerabilidad crítica existe en las versiones de Struts 2 desde la 2.0.0 hasta la 2.5.29 inclusive.

La vulnerabilidad resulta de una corrección incompleta que se aplicó para CVE-2020-17530, también un error de Inyección OGNL, con una clasificación de gravedad de 9.8 (Crítico).

El lenguaje de navegación de gráfico de objetos (OGNL) es un lenguaje de expresión (EL) de código abierto para Java que simplifica el rango de expresiones utilizadas en el lenguaje Java. OGNL también permite a los desarrolladores trabajar con arreglos más fácilmente. Sin embargo, analizar las expresiones OGNL en función de la entrada del usuario sin procesar o que no es de confianza puede ser problemático desde una perspectiva de seguridad.

En 2020, los investigadores Álvaro Muñoz de GitHub y Masato Anzai de Aeye Security Lab informaron una falla de "evaluación doble" en las versiones 2.0.0 - 2.5.25 de Struts2, bajo ciertas circunstancias.

"Algunos de los atributos de la etiqueta podrían realizar una evaluación doble si un desarrollador aplicara una evaluación OGNL forzada mediante el uso de la sintaxis %{...}", afirma el aviso para CVE-2020-17530.

"El uso de la evaluación OGNL forzada en la entrada de un usuario que no es de confianza puede provocar una ejecución remota de código y una degradación de la seguridad".

Aunque Apache había resuelto el error de 2020 en Struts 2.5.26, el investigador Chris McCown descubrió más tarde que la solución aplicada estaba incompleta.

Como tal, McCown informó responsablemente a Apache que el problema de "doble evaluación" aún podría reproducirse en las versiones 2.5.26 y posteriores de Struts, lo que resultó en la asignación de CVE-2021-31805.

Se recomienda a los usuarios que actualicen a Struts 2.5.30 o superior y que eviten el uso de la evaluación OGNL forzada en los atributos de la etiqueta en función de la entrada del usuario que no es de confianza.

Además, Apache recomienda seguir su guía de seguridad para conocer las mejores prácticas.

El hackeo de Equifax de 2017 se derivó de la inyección de OGNL

Ha sido un año en el que los componentes de Java con vulnerabilidades de alto perfil como Log4Shell y Spring4Shell dominan el espacio de la ciberseguridad.

Ahora, con la reactivación de esta falla crítica de dos años en Struts, es posible que las organizaciones y los profesionales de la seguridad deban examinar de cerca sus entornos de servidor web.

El marco Struts ha tenido un historial de vulnerabilidades críticas, en particular fallas de ejecución remota de código que resultan del uso inseguro de OGNL.

Otra falla de inyección de Struts 2 OGNL (CVE-2017-5638) había sido explotada previamente por actores de amenazas, incluidos grupos de ransomware.

El gigante de informes de crédito al consumidor, Equifax, confirmó más tarde que el ataque de 2017 a la empresa fue el resultado de la explotación de CVE-2017-5638, que era un día cero en ese momento.

La violación de datos de Equifax comprometió los datos de 143 millones de usuarios, ya que los piratas informáticos robaron nombres, números de seguro social (SSN), fechas de nacimiento, direcciones y, en algunos casos, números de licencias de conducir de personas.

Los actores de amenazas también habían accedido a los números de tarjetas de crédito de unos 209.000 usuarios estadounidenses. Sin revelar el número exacto de personas afectadas, Equifax confirmó que la brecha también afectó a los residentes británicos y canadienses de alguna manera.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta