Underc0de

Una vulnerabilidad crítica en Apache Struts 2, identificada como CVE-2024-53677 (puntuación CVSS 9.5, "crítico"), está siendo explotada activamente mediante exploits de prueba de concepto (PoC) disponibles públicamente para localizar servidores vulnerables.

Descripción de la vulnerabilidad

Apache Struts es un marco de código abierto ampliamente utilizado para desarrollar aplicaciones web basadas en Java, empleado por organizaciones como agencias gubernamentales, instituciones financieras, plataformas de comercio electrónico y aerolíneas. La vulnerabilidad afecta a las siguientes versiones:

• Struts 2.0.0 a 2.3.37 (fin de vida)
• Struts 2.5.0 a 2.5.33
• Struts 6.0.0 a 6.3.0.2

El problema reside en un error en la lógica de carga de archivos que permite el recorrido de rutas y la carga de archivos maliciosos, facilitando a los atacantes ejecutar código de manera remota.

"Un atacante puede manipular los parámetros de carga de archivos para habilitar el cruce de rutas y, en algunas circunstancias, cargar un archivo malicioso que permita la ejecución remota de código", indica el boletín de seguridad de Apache.

Riesgos de la vulnerabilidad

La falla CVE-2024-53677 permite a los atacantes:

• Subir archivos maliciosos, como webshells.
• Ejecutar comandos remotos en servidores afectados.
• Descargar cargas útiles adicionales.
• Robar información confidencial.

Esta vulnerabilidad guarda similitudes con CVE-2023-50164, lo que sugiere que podría tratarse de una solución incompleta de problemas anteriores.

Actividad de explotación detectada

El investigador Johannes Ullrich de SANS ISC reportó intentos activos de explotación mediante exploits basados en PoC públicas. Los atacantes están:

• Cargando un archivo "exploit.jsp" que imprime la cadena "Apache Struts".
• Verificando si el servidor es vulnerable al acceder a dicho script.

Hasta el momento, la explotación se ha originado desde una dirección IP única: 169.150.226.162.

Mitigación y recomendaciones

Para proteger los sistemas contra esta vulnerabilidad, Apache recomienda:

• Actualizar a Apache Struts 6.4.0 o versiones posteriores.
• Migrar al nuevo mecanismo de carga de archivos de acción.

Es importante destacar que aplicar el parche no es suficiente. Las aplicaciones deben ser reescritas para implementar el nuevo mecanismo de carga, ya que el antiguo sistema permanece vulnerable.

"Este cambio no es compatible con versiones anteriores. Continuar usando el antiguo mecanismo de carga te expone a ataques activos", advierte Apache.

Advertencias globales

Ante la explotación activa, agencias de ciberseguridad de Canadá, Australia y Bélgica han emitido alertas públicas instando a los desarrolladores a actualizar y proteger sus sistemas de forma inmediata.

Fuente: https://www.bleepingcomputer.com