Os developers do Apache Struts 2, uma ferramente open-source, lançaram uma nova release com os updates necessários de forma a corrigir uma vulnerabilidade crítica de execução remota de código (RCE).

Os updates desta semana no Apache Struts 2, uma framework open-source para desenvolvimento endereçou uma vulnerabilidade crítica RCE, identificada como CVE-2018-11776.

A vulnerabilidade afeta as versões desde a 2.3 , 2.3.34, 2.5 até 2.5.16 e possivelmente versões já não suportadas pela framework e utilizadas ainda em muitos sistemas.

O patch endereçado corrige as vulnerabilidades das versões 2.3.35 e 2.5.17 referente ao CVE-2018-11776.

Os developers do Struts elaboraram um workaround, mas atualmente estão a deseconselhar o seu uso aos utilizadores. O procedimento ideal deverá ser a instalação do patch publicado recentemente.

“Possible Remote Code Execution when using results with no namespace and in same time, its upper action(s) have no or wildcard namespace. Same possibility when using url tag which doesn’t have value and action se” reads the security advisory published by Apache.

“Possible Remote Code Execution when using results with no namespace and in same time, its upper action(s) have no or wildcard namespace. Same possibility when using url tag which doesn’t have value and action set.”

Os especialistas avisam que é possível acionar a falha do RCE quando o valor do namespace não for definido para um resultado definido nas configurações subjacentes do xml e, ao mesmo tempo, suas configurações de ação (s) superior (es) não têm namespace.

A falha também pode ser explorada ao usar a tag url, que não tem valor nem ação definida e, ao mesmo tempo, suas configurações de ação (s) superior (es) não possuem um namespace ou um namespace wildcard.

A vulnerabilidade foi anunciada por Man Yue Mo da equipa de segurança Semmle em 10 de abril. As atualizações de segurança foram lançadas em 25 de junho e em 22 de agosto de 2018 as novas versões do Struts foram lançadas.

“This vulnerability is caused by insufficient validation of untrusted user data in the core of the Struts framework. Due to the fact that this vulnerability affects the core of Struts, there exist multiple separate attack vectors. At the moment, we are aware of two such vectors” reads the technical analysis published bb Semmle.

“For your application to be vulnerable to the attack vectors described below, both of the following conditions should hold:

  1. The alwaysSelectFullNamespace flag is set to true in the Struts configuration. Note that this is automatically the case if your application uses the popular Struts Convention plugin.
  2. Your application’s Struts configuration file contains an <action …>tag that does not specify the optional namespace attribute, or specifies a wildcard namespace (e.g. “/*”)”

 

Os especialistas da Semmle explicaram que a falha afeta os pontos de extremidade comumente usados no Struts.

“Attackers can attack vulnerable applications by injecting their own namespace as a parameter in an HTTP request. The value of that parameter is insufficiently validated by the Struts framework, and can be any OGNL string. OGNL (Object-Graph Navigation Language) is a powerful domain-specific language that is used to customize Apache Struts’ behavior,” the researcher explained.

 

Convém ter em mente que a falha do Apache Struts é muito perigosa para as organizações, uma delas foi a causa raiz da enorme violação da Equifax que afetou mais de 140 milhões de pessoas.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *