Vulnerabilità Critica su Apache Struts2

Proto: N011118.

Con la presente Yoroi desidera informarLa relativamente all’aggiornamento della criticità nota con l’identificativo CVE-2016-1000031 all’interno di Apache Struts2, framework utilizzato per lo sviluppo di applicativi web basati su tecnologie Java EE in ambiti corporate.

La problematica è originata da lacune durante le routine di deserializzazione di oggetti nel componente di libreria “Apache Commons FileUpload”, reso disponibile dal framework Struts2 per agevolare le implementazioni di servlet di gestione di caricamento file. Attraverso l’ausilio di richieste di upload appositamente create, un attaccante può essere in grado di caricare ed eseguire qualsiasi tipo di file all’interno del sistema bersaglio, ottenendo accesso a dati e risorse al suo interno.

La criticità in oggetto è stata segnalata per la prima volta nel 2016 e gestita dal manutentore della libreria di file-upload nel 2017; tuttavia il componente vulnerabile all’interno del framework Struts2 è stato aggiornato soltanto recentemente, attraverso un apposito bollettino del Produttore dove viene confermata la presenza di versioni vulnerabili del componente in Struts2 <= 2.3.36.

A questo proposito, Yoroi suggerisce di verificare lo stato delle dipendenze della libreria “commons-fileupload” nei progetti software basati su tecnologia Struts2 in uso presso le Vostre infrastrutture, di appurarne la presenza con versioni maggiori o uguali a 1.3.3, di valutarne l’eventuale stato di esposizione e di pianificarne l’aggiornamento qualora necessario.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index