Vulnerabilità su Tecnologia Apache Struts2 (REST/XML)  

 

Proto: N020917.

Con la presente Yoroi desidera informarLa riguardo alla pubblicazione di una  importante vulnerabilità all’interno di tecnologie Apache Struts2, framework largamente utilizzato per lo sviluppo di applicazioni web basate su Java EE all’interno di molteplici soluzioni software enterprise. La criticità rilevata è nota con l’identificativo CVE-2017-9805.

A causa di lacune di validazione degli input utente nel gestore di richieste XML “XStream”  all’interno del plugin “Struts REST” , un attaccante di rete con possibilità di interagire con la componente vulnerabile è in grado eseguire codice arbitrario all’interno della macchina vittima, permettendo così installazioni di backdoor ed accessi abusivi alle infrastrutture. 

Il Produttore ha confermato la problematica attraverso il bollettino di sicurezza S2-052 nel quale risultano coinvolte dalla criticità le versioni di Apache Struts da 2.5 a 2.5.12 con plugin “Struts REST” e supporto XML “XStream” abilitato.

Vista la recente pubblicazione di dettagli tecnici e strumenti atti alla riproduzione della problematica, Yoroi suggerisce caldamente di verificare la presenza di applicazioni basate su tecnologie Apache Struts da 2.5 a 2.5.12 con plugin REST e XStream abilitati presso le Vostre infrastrutture e di applicare gli aggiornamenti di sicurezza rilasciati dal Produttore. Qualora non fosse possibile applicare gli aggiornamenti indicati si consiglia di valutare la disabilitazione del plugin REST o rimuovere il supporto al formato dati XML.  

Yoroi non ha al momento osservato attacchi che sfruttano tale criticità, tuttavia nel trimestre passato sono stati registrati vari tentativi di compromissione mirati a tecnologie Apache Struts2 relativamente differenti vulnerabilità, ad esempio CVE-2017-5638 (Jakarta Multipart). 

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index