Código de explotación PoC y exploit para afectar Apache Struts 2 están disponibles en línea

Investigadores de seguridad han descubierto un código PoC y un exploit disponible en GitHub que puede usarse para activar las vulnerabilidades de seguridad en Apache Struts 2.

El código de explotación de prueba de concepto se lanzó esta primera quincena de agosto y permite activar las vulnerabilidades CVE-2019-0230 y  CVE-2019-0233 en Apache Struts 2 que se clasifican como problemas de ejecución remota de código y denegación de servicio, respectivamente. . Ambas vulnerabilidades fueron abordadas por el equipo de Apache en noviembre de 2019.

Según un aviso publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), las dos fallas afectan las versiones 2.0.0 a 2.5.20 de Apache Struts. El equipo de seguridad de Apache Struts insta a los administradores a actualizar sus instalaciones a Struts 2.5.22.

Apache Struts 2 es un marco extensible de código abierto para crear aplicaciones web Java listas para empresas.

Las instalaciones sin parches podrían permitir a los atacantes realizar actividades maliciosas. En 2017, la agencia de informes crediticios Equifax sufrió una violación masiva de datos, los atacantes explotaron la   vulnerabilidad CVE-2017-5638 Apache Struts. 

El CVE-2019-0230, para el cual solo está disponible un código de explotación PoC, podría activarse cuando un actor de amenazas envía una expresión maliciosa de Lenguaje de navegación de gráficos de objetos (OGNL) que puede resultar en una ejecución remota de código en el contexto de la aplicación afectada.

Dependiendo de los privilegios asociados con la aplicación afectada, un atacante podría realizar múltiples actividades maliciosas, como instalar aplicaciones; modificar o eliminar datos, o crear nuevas cuentas de administrador.

La falla DoS, rastreada como CVE-2019-0233, afecta los permisos de escritura de los directorios de archivos que podrían conducir a condiciones propicias para un ataque DoS.

De acuerdo con la descripción de Apache Struts Wiki del error, esta falla se puede desencadenar con la carga de un archivo en la Acción de Strut que expone el archivo.

“Cuando se realiza la carga de un archivo en una acción que expone el archivo con un captador, un atacante puede manipular la solicitud de modo que la copia de trabajo del archivo cargado esté configurada como de solo lectura. Como resultado, las acciones posteriores en el archivo fallarán con un error » indica el aviso. «También es posible configurar el directorio temporal del contenedor Servlet para que sea de solo lectura, de modo que las acciones de carga posteriores fallarán».

El boletín de seguridad de Apache recomienda actualizar las instalaciones desactualizadas y verificar que no se hayan producido modificaciones no autorizadas en el sistema.