Недавно исправленная критическая уязвимость в Apache Struts 2 (CVE-2024-53677) уже активно используется хакерами и подвергается атакам с помощью публичных proof-of-concept эксплоитов.
На прошлой неделе разработчики Apache публично раскрыли информацию о критической проблеме CVE-2024-53677 (9,5 балла по шкале CVSS). Сообщалось, что она относится к типу path traversal и связана с ошибкой в логике загрузки файлов, позволяя загружать вредоносные файлы (например, веб-шеллы), что ведет к удаленному выполнению кода.
Уязвимость затрагивает Struts версий 2.0.0-2.3.37 (устаревшая версия), 2.5.0-2.5.33, а также 6.0.0-6.3.0.2.
«Злоумышленник может манипулировать параметрами загрузки файлов, чтобы добиться обхода путей, и при определенных обстоятельствах это может привести к загрузке вредоносного файла, который может использоваться для удаленного выполнения кода», — сообщали разработчики.
Эта уязвимость схожа со старым багом CVE-2023-50164, и предположительно возникла из-за неэффективного или неполного исправления для него.
Специалисты ISC SANS уже сообщают о попытках эксплуатации свежей проблемы. По их данным, злоумышленники, похоже, используют общедоступные PoC-эксплоиты или заметно ими «вдохновились».
В настоящее время атакующие стремятся выявить уязвимые системы, используя эксплоит для загрузки файла exploit.jsp, который содержит одну строку кода для печати строки «Apache Struts». Затем эксплоит пытается получить доступ к скрипту и убедиться, что сервер успешно скомпрометирован.
Пользователям рекомендуется как можно скорее обновить Struts до версии 6.4.0 и перейти на новый механизм загрузки файлов. Дело в том, что одной только установки патча недостаточно: код, отвечающий за обработку загрузки файлов в приложениях Struts, должен быть переписан для использования нового механизма Action File Upload.
«Продолжая использовать старый механизм File Upload, вы остаетесь уязвимы для таких атак», — предупреждают в компании.
