Detectadan una Falla Crítica en Apache Struts con Intentos de Explotación

XPoint
Publicado el 18/12/2024

Se ha identificado una falla crítica en Apache Struts, que podría permitir la ejecución remota de código.

El problema, identificado como CVE-2024-53677, tiene una puntuación CVSS de 9.5/10, lo que indica una gravedad crítica. Esta vulnerabilidad guarda similitudes con la CVE-2023-50164 (CVSS: 9.8) resuelta en diciembre de 2023, la cual fue explotada poco después de su divulgación pública.

Según el aviso de Apache, “un atacante puede manipular los parámetros de carga de archivos para habilitar la travesía de rutas, lo que en ciertas circunstancias permite cargar un archivo malicioso que puede ejecutar código remoto.” En otras palabras, un actor malicioso podría subir cargas útiles arbitrarias a instancias vulnerables, permitiéndole ejecutar comandos, robar datos o descargar archivos adicionales para una explotación posterior.

Versiones afectadas:

Struts 2.0.0 – 2.3.37 (sin soporte),

Struts 2.5.0 – 2.5.33,

Struts 6.0.0 – 6.3.0.2.

El problema se solucionó en la versión Struts 6.4.0 o superior.

Dr. Johannes Ullrich, decano del Instituto de Investigación de SANS Technology, señaló que un parche incompleto para la CVE-2023-50164 pudo haber originado este problema. Agregó que ya se han detectado intentos de explotación que coinciden con el PoC publicado. “Actualmente, los intentos de explotación buscan identificar sistemas vulnerables y localizar los scripts subidos. Hasta ahora, los escaneos provienen de 169.150.226[.]162.”

Para mitigar el riesgo, se recomienda actualizar a la última versión de Apache Struts lo antes posible y reescribir el código utilizando el nuevo mecanismo Action File Upload y su interceptor asociado.

Saeed Abbasi, gerente de producto en Qualys, afirmó: “Apache Struts es fundamental en muchas infraestructuras IT corporativas, impulsando portales públicos, aplicaciones internas y flujos de trabajo críticos. Su popularidad en entornos sensibles significa que una vulnerabilidad como la CVE-2024-53677 podría tener implicaciones de gran alcance.”

 


 

English

Patch Alert: Critical Apache Struts Vulnerability Found with Exploitation Attempts Detected

 

A critical security flaw has been identified in Apache Struts, potentially enabling remote code execution.

Tracked as CVE-2024-53677, the vulnerability carries a CVSS score of 9.5/10, indicating critical severity. It shares similarities with CVE-2023-50164 (CVSS: 9.8), addressed in December 2023, which was actively exploited shortly after its public disclosure.

According to the Apache advisory, “an attacker can manipulate file upload parameters to enable path traversal, which, under certain circumstances, allows uploading a malicious file to perform Remote Code Execution.” In simpler terms, successful exploitation enables a threat actor to upload arbitrary payloads, execute commands, steal data, or download additional files for further attacks.

Affected Versions:

Struts 2.0.0 – 2.3.37 (end-of-life),

Struts 2.5.0 – 2.5.33,

Struts 6.0.0 – 6.3.0.2.

The issue has been patched in Struts 6.4.0 or later.

Dr. Johannes Ullrich, Dean of Research at SANS Technology Institute, stated that an incomplete patch for CVE-2023-50164 might have led to this issue. He noted that exploitation attempts matching the publicly released PoC have been observed: “At this point, attackers are scanning for vulnerable systems and uploaded scripts. So far, scans originate from 169.150.226[.]162.”

To mitigate the risk, users are advised to upgrade to the latest version of Apache Struts promptly and rewrite their code to utilize the new Action File Upload mechanism and related interceptor.

Saeed Abbasi, Product Manager at Qualys, emphasized: “Apache Struts is at the core of many corporate IT systems, driving public-facing portals, internal applications, and critical workflows. Its use in high-stakes environments means vulnerabilities like CVE-2024-53677 could have far-reaching consequences.”

Preguntas frecuentes

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos