Vulnerabilidad en Apache Struts 2 ampliamente utilizada

Los ataques lanzados contra la vulnerabilidad de Apache Struts 2 (CVE-2017-5638) revelada en marzo son un excelente ejemplo de lo rápido que los delincuentes puede aprovechar las vulnerabilidades 0-Day para realizar ataques distribuidos.

Apache Struts 2 es un framework de aplicaciones web de código abierto para desarrollar aplicaciones Java EE. El 6 de marzo, Apache publicó una advertencia de seguridad sobre una vulnerabilidad de ejecución remota de código (RCE) en Jakarta y en múltiples versiones de Apache Struts 2. En menos de 24 horas se creó un script Python para aprovechar esta vulnerabilidad, y un informe de Talos señaló "una explotación inmediata".

De acuerdo con los datos de IBM Managed Security Services (MSS), la actividad delictiva aumentó 48 veces por encima del número promedio de ataques, durante el período de tiempo evaluado.

El 10 de marzo, IBM X-Force comenzó a ver ataques explotando esta vulnerabilidad dirigida a clientes. Estos ataques alcanzaron su punto máximo el 23 de marzo, que coincidió con el día en que Apache lanzó la solución. Aunque el volumen de actividad del ataque disminuyó considerablemente en el plazo de una semana, se sigue viendo un volumen de actividad persistente dirigido a esta vulnerabilidad.

El análisis de IBM encontró que casi el 50 por ciento de los ataques provino de China. Esto no es sorprendente, ya que el código de la PoC apareció por primera vez en foros chinos, y Rapid7 también informó los primeros ataques desde China. El 22 por ciento de los ataques provino de Estados Unidos y más del 45 por ciento de los objetivos se localizaron en los Estados Unidos, seguido por Australia al 28 por ciento y los U.K. al 17 por ciento.

Las principales industrias atacadas fueron la educación (32%), el alojamiento y los servicios de alimentación (23%), los servicios financieros (23%), la industria manufacturera (12%) y la atención sanitaria (10%).

¿Tan persistente como Shellshock?

Como se reveló en el índice de Inteligencia de Amenazas de X-Force de 2017, los ataques de Shellshock, que surgieron por primera vez en septiembre de 2014, perduraron a lo largo de 2016. La vulnerabilidad es relativamente fácil de explotar y los sistemas sin parches son abundantes.

Al igual que el GNU Bash Shell, Apache Struts 2 es ampliamente utilizado y la naturaleza de la vulnerabilidad (RCE) permite a los atacantes utilizar las máquinas comprometidas en una amplia gama de actividades, tales como la creación botnet, ataques DDoS y campañas de ransomware.

Conclusión: actualice a Apache Struts a la versión 2.3.32 o 2.5.10.1.

Fuente: Security Intelligence