Uma falha de execução de código remota fácil de explorar, foi descoberta na estrutura de código aberto que é amplamente utilizada no Apache Struts 2 (Framework apache). Essa falha foi corrigida em 2017, mas em 2022 ainda há tentativas para explorar sistemas vulneráveis.
Desta forma, é necessário chamar para uma realidade que alguns supostos administradores de servidores não se atentam. Alguns, por questões falta de conhecimento ou até mesmo vontade, tem deixado versões antigas sem nenhuma atualização.
Assim, acabam comprometendo a segurança do servidor, causando prejuízos e até sujando o nome da comunidade que desenvolve software de código aberto. Dito isso, é sabido que já se foi o tempo em que se instalava ou configurava um servidor e esquecia. É necessário atualizar a fazer manutenção periódicas.
Sobre o Apache Struts
A tecnologia open-source Apache Struts 2 é um componente de Framework amplamente utilizado em aplicações Java e está atualmente sob ataque. Os ataques seguem a divulgação de 6 de março pelo projeto Struts, uma vulnerabilidade de Execução Remota de Código (RCE) identificada como CVE-2017-5638.
CVE-2017-5638 já foi corrigido!
O problema da CVE-2017-5638 foi corrigido no mesmo dia em que o projeto Struts fez a divulgação, embora várias empresas de segurança tenham observado que os atacantes estão ativamente indo atrás de sistemas não corrigidos. John Matthew Holt, fundador da Waratek e CTO, comentou em uma declaração por e-mail naquele ano:
É possível executar um ataque RCE com um valor de tipo de conteúdo malicioso, adverte o projeto Apache Struts em seu aviso. Se o Content-Type valor não é válido, uma exceção é lançada que é usada para exibir uma mensagem de erro para um usuário.
A vulnerabilidade do Struts é crítica porque o ataque pode ser alcançado sem autenticação. Para piorar as coisas, os aplicativos da Web não precisam necessariamente carregar com êxito um arquivo malicioso para explorar essa vulnerabilidade, já que apenas a presença da biblioteca Struts vulnerável em um aplicativo é suficiente para explorar a vulnerabilidade.
Para usuários que fizeram alterações personalizadas no código-fonte Struts, pode levar dias ou semanas para fazer upgrade.
Afirmou Holt.A empresa Rapid7 está entre os fornecedores de segurança que estão monitorando ativamente a vulnerabilidade do Struts, além de permitir que as organizações testem se estão em risco. Rapid7 é o principal patrocinador comercial por trás do open-source Metasploit Framework, ferramenta de teste de penetração Há um módulo em desenvolvimento para Metasploit agora que permite aos pesquisadores testar o problema do Struts.
Os testadores de falhas podem baixar a versão atual do código do GitHub, mas o módulo ainda precisa de alguns ajustes e revisão de controle de qualidade, antes de ser adicionado à base de código oficial do projeto.
Disse Tom, Analista de Ameaças e Segurança no Rapid7.Além do Metasploit, Rapid7 operou o Heisenberg Cloud desde novembro de 2016, fornecendo uma rede de Honeypot de nuvem no Amazon Web Services, Microsoft Azure, Ocean Digital, Rackspace, Google Cloud Platform e IBM SoftLayer – para ver que tipo de ataques estão ocorrendo.
Como se verifica, a Heisenberg Cloud começou a ver pedidos maliciosos relacionados com a vulnerabilidade do Apache Struts na terça-feira, 7 de Março de 2017. As ondas de ataque cresceram na quarta-feira, 8 de março, quase dois dias depois que o projeto Struts lançou seu patch e conselho de segurança para CVE-2017-5638.
Dado que o Struts é um software de infra-estrutura que está incorporado em sistemas em execução, nem sempre é uma tarefa fácil para as organizações corrigirem. Na verdade, Sellers espera que os atacantes estarão usando a Vulnerabilidade CVE-2017-5638 Struts por mais algum tempo.
