Importante Vulnerabilità Apache Struts2
07/11/2017
Proto: N030717.
Con la presente Yoroi desidera informarLa riguardo ad una importante vulnerabilità all'interno di tecnologie Apache Struts2, framework largamente utilizzato per lo sviluppo di applicazioni web basate su Java EE all'interno di molteplici soluzioni software enterprise. La criticità rilevata è nota con l’identificativo CVE-2017-9791.
A causa di lacune di validazione all’interno del componente “ActionMessage” incluso nel plugin “Struts1”, un attaccante di rete può essere in grado eseguire codice arbitrario all'interno della macchina vittima, permettendo così installazioni di backdoor ed accessi abusivi alle infrastrutture.
Il Produttore ha confermato la problematica attraverso il bollettino di sicurezza S2-048 nel quale vengono segnalate come afflitte le versioni di Apache Struts 2.3.x con plugin Struts1 abilitato, indicando il corretto utilizzo del componente “ActionMessage” al fine mitigare la problematica.
Vista la recente pubblicazione di strumenti in grado di sfruttare la vulnerabilità indicata (exploit), Yoroi suggerisce di verificare la presenza di applicazioni basate su tecnologie Apache Struts 2.3.x con plugin Struts1 abilitato presso le Vostre infrastrutture e di appurare il corretto utilizzo del componente interno “ActionMessage”, come da indicazioni presenti all'interno del bollettino di sicurezza S2-048. Porzioni di codice afflitto dalla vulnerabilità in oggetto sono state rilevate anche all'interno dell'applicazione di esempio “Struts Showcase app”, pertanto è consigliato verificarne l'eventuale presenza ed esposizione.
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
A causa di lacune di validazione all’interno del componente “ActionMessage” incluso nel plugin “Struts1”, un attaccante di rete può essere in grado eseguire codice arbitrario all'interno della macchina vittima, permettendo così installazioni di backdoor ed accessi abusivi alle infrastrutture.
Il Produttore ha confermato la problematica attraverso il bollettino di sicurezza S2-048 nel quale vengono segnalate come afflitte le versioni di Apache Struts 2.3.x con plugin Struts1 abilitato, indicando il corretto utilizzo del componente “ActionMessage” al fine mitigare la problematica.
Vista la recente pubblicazione di strumenti in grado di sfruttare la vulnerabilità indicata (exploit), Yoroi suggerisce di verificare la presenza di applicazioni basate su tecnologie Apache Struts 2.3.x con plugin Struts1 abilitato presso le Vostre infrastrutture e di appurare il corretto utilizzo del componente interno “ActionMessage”, come da indicazioni presenti all'interno del bollettino di sicurezza S2-048. Porzioni di codice afflitto dalla vulnerabilità in oggetto sono state rilevate anche all'interno dell'applicazione di esempio “Struts Showcase app”, pertanto è consigliato verificarne l'eventuale presenza ed esposizione.
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
