Descubierta una vulnerabilidad de validación insuficiente en Apache Struts

Durante el final del mes pasado se desveló una vulnerabilidad crítica en Apache Struts, el conocido framework para la creación de aplicaciones web que sigue el modelo MVC y que se apoya en la plataforma Java EE.

El fallo (CVE-2018-11776), cuyo descubridor fue la empresa de inteligencia Volexity, permite a los hackers lo que lo exploten llevar a cabo ataques contra los sistema que utilicen Apache Struts 2. Se ha detectado que algunos actores maliciosos lo han explotado con el fin de colar el minero malicioso CNRig, dedicado a minar la criptodivisa Monero.

La vulnerabilidad afecta a todas las versiones de mantenimiento de la 2.3 hasta la 2.3.34 y de la 2.5 hasta la 2.5.16. Las versiones del framework que en estos momentos no cuenten con soporte también están afectadas. Según Semmle, el fallo es causado debido a una validación insuficiente de los datos de usuarios no confiables en el núcleo de Apache Struts, abriendo la puerta para que un atacante remoto, en forma de usuario no autenticado, pueda ejecutar código arbitrario sobre el sistema objetivo.

Los desarrolladores de Apache Struts, que es un proyecto de Apache Software Foundation, ha pedido a los administradores de sistema que actualicen sus sistemas cuanto antes para aplicar los parches, que están disponibles a partir de las versiones 2.3.35 y 2.5.17. Recorded Future explican que “un atacante puede explotar el fallo añadiendo su propio espacio de usuario a la URL como parte de una petición HTTP. Desafortunadamente esto hace que la explotación de la vulnerabilidad sea algo trivial”, existiendo hasta una prueba de concepto y un script en Python que facilita el proceso.

La vulnerabilidad podría estar siendo explotada de forma activa según Future Recorded, debido a que ha descubierto menciones a esta en foros clandestinos chinos y rusos. Desde MuySeguridad recomendamos actualizar Apache Struts cuanto antes para proteger los sistemas que lo utilicen.

Fuente: The Inquirer