Los actores de amenazas están intentando explotar una falta de seguridad revelada recientemente que afecta a Apache Struts y que podría allanar el camino para la ejecución remota de código.
El problema, registrado como CVE-2024-53677, tiene una puntuación CVSS de 9,5 sobre 10,0, lo que indica una agravación crítica. La vulnerabilidad comparte similitudes con otro error crítico que los mantenedores del esquema abordaron en diciembre de 2023 (CVE-2023-50164, puntuación CVSS: 9,8), que asimismo fue objeto de explotación activa poco a posteriori de su divulgación pública.
«Un atacante puede manipular los parámetros de carga de archivos para permitir el cruce de rutas y, en algunas circunstancias, esto puede resistir a cargar un archivo receloso que puede estilarse para realizar la ejecución remota de código», según el aviso de Apache.
En otras palabras, la explotación exitosa de la falta podría permitir a un actor malintencionado cargar cargas avíos arbitrarias en instancias susceptibles, que luego podrían aprovecharse para ejecutar comandos, filtrar datos o descargar cargas avíos adicionales para su posterior explotación.
La vulnerabilidad afecta a las siguientes versiones y se ha parcheado en Struts 6.4.0 o superior:
- Struts 2.0.0 – Struts 2.3.37 (fin de vida útil),
- Puntales 2.5.0 – Puntales 2.5.33, y
- Puntales 6.0.0 – Puntales 6.3.0.2
El Dr. Johannes Ullrich, decano de investigación del Instituto de Tecnología SANS, dijo que un parche incompleto para CVE-2023-50164 puede ocurrir causado el nuevo problema, añadiendo que los intentos de explotación que coinciden con la prueba de concepto (PoC) publicada públicamente han sido detectado en la naturaleza.
«En este punto, los intentos de explotación intentan enumerar los sistemas vulnerables», señaló Ullrich. «A continuación, el atacante intenta encontrar el script cargado. Hasta ahora, los escaneos se originan sólo desde 169.150.226(.)162».
Para mitigar el aventura, se recomienda a los usuarios desempolvar a la última interpretación lo ayer posible y reescribir su código para utilizar el nuevo mecanismo de carga de archivos de bono y el interceptor relacionado.
«Apache Struts se encuentra en el corazón de muchas pilas de TI corporativas, impulsando portales públicos, aplicaciones de productividad interna y flujos de trabajo comerciales críticos», dijo Saeed Abbasi, apoderado de producto de la Mecanismo de Investigación de Amenazas de Qualys. «Su popularidad en contextos de suspensión aventura significa que una vulnerabilidad como CVE-2024-53677 podría tener implicaciones de gran radio».