Grave Vulnerabilità su Tecnologia Apache Struts2

Con la presente Yoroi desidera informarLa relativamente alla recente pubblicazione di una grave vulnerabilità all'interno del noto framework Apache Struts2, utilizzato per lo sviluppo di numerose web application basate su tecnologie Java EE in soluzioni software Enterprise. La criticità è nota con l’identificativo CVE-2018-11776.

Il problema è causato da lacune di validazione in alcuni componenti core del framework stesso: esistono infatti particolari condizioni tali per cui un attaccante esterno può essere in grado di eseguire codice arbitrario all'interno del sistema vittima, sfruttando la possibilità di inserire codice OGNL (Object Graph Navigation Library) nelle richieste di attivazione delle azioni gestite dall'applicativo web vulnerabile.

La problematica è stata confermata dal Produttore attraverso il bollettino di sicurezza S2-057, dove vengono indicate le versioni afflitte: Struts 2.3-2.3.34, Struts 2.5-2.5.16 e potenzialmente anche quelle precedenti non più manutenute. La criticità è sfruttabile in tutti gli applicativi che utilizzano le versioni del framework Struts2 coinvolte qualora sussistano le seguenti condizioni:

• Il flag di configurazione “alwaysSelectFullNamespace” è impostato a “true”. Condizione di default in caso di utilizzo del popolare plugin “Struts Convention”.
• Le azioni configurate dall'applicazione non contengono specifiche di “namespace” oppure le contengono ma con utilizzo di wildcard (e.g. “/*”).

Ricercatori di terze parti hanno dimostrato che, al netto delle condizioni indicate, la problematica è sfruttabile attraverso più vettori di attacco: ad esempio durante azioni di redirezione tra controller vulnerabili, oppure in caso di uso di “url tag” all’interno di template associati alle azioni afflitte.

Siccome la criticità riguarda componenti core della tecnologia Struts2, largamente utilizzata in vari applicativi di natura Enterprise; considerato l’interesse di vari agenti di minaccia alle criticità di questo framework (e.g. Equifax data breach) e considerata la disponibilità di dettagli tecnici a riguardo, Yoroi consiglia di verificare l’eventuale presenza di versioni vulnerabili del framework all'interno delle infrastrutture software in uso, in caso positivo di appurare le condizioni di sfruttabilità e pianificare l’applicazione degli aggiornamenti di sicurezza disponibili.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index