8 mar. 2017

Exploit RCE para Apache Struts (Actualiza YA!)

Ayer de madrugada unos de los feeds chinos hizo saltar las alarmas llevando toda la atención a un PoC/Exploit In-the-Wild para la vulnerabilidad CVE-2017-5638 que permite RCE (ejecución remota de comandos) en las últimas versiones de Apache Struts. La vulnerabilidad afecta a Struts 2.3.5 a Struts 2.3.31 y Struts 2.5 a Struts 2.5.10.

Un script liberado por Nike Zheng (célebre y habitual hostigador de Struts), primero en páginas como Freebuf o Bobao, se aprovecha de un fallo en la función de upload del parser de Jakarta y muestra cómo modificar la cabecera Content-Header para inyectar comandos de sistema operativo cuando se llama a un action.
Si se ejecuta contra una aplicación vulnerable el resultado será la ejecución remota de comandos con el usuario que ejecuta el servidor.
Así de sencillo:
Cualquier búsqueda en Google con un dork "filetype:action" arroja unos 35 millones de resultados, de los cuales un alto porcentaje es vulnerable... el volumen y la criticidad de los servicios afectados es simplemente ... dramático.

Otro ejemplo:

El exploit ya ha saltado a las grandes páginas de 'advisories' y ya se han observado intentos de explotación masivos en Internet, incluso bastante sofisticados con el objetivo de conseguir persistencia o modificaciones como las que nos trae nuestro compi Sebastian Cornejo (curiositysec) que permite obtener el path de la aplicación, paso previo a la subida de una shell al servidor.

Recomendación

La criticidad es máxima y la noticia corre como la pólvora y urge tomar contramedidas.
  • Actualizar a Apache Struts (2.3.32 / 2.5.10.1 o posteriores)
  • Actualizar firmas del IDS/IPS. Por ej. Snort ya incluye reglas en server-apache.rules: SERVER-APACHE Apache Struts remote code execution attempt (SIDs: 41818, 41819)
Apache ha publicado que ciertas versiones de Apache Struts (2.3.32 / 2.5.10.1 o posterior) no son vulnerables y se debe actualizar para mitigar este problema, teniendo en cuenta que se está explotando activamente.
    Fuentes:

    0 comentarios:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info
    Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

    Gracias por comentar!