Falha RCE do Apache Struts não foi totalmente corrigida

A Cybersecurity and Infrastructure Security Agency relatou que uma falha RCE do Apache Struts não foi totalmente corrigida.

Struts é uma estrutura de desenvolvimento de aplicativos de código aberto usada por desenvolvedores da Web Java para criar aplicativos MVC (model-view-controller).

Recentemente, o Apache corrigiu uma vulnerabilidade crítica em seu projeto Struts amplamente popular que anteriormente se acreditava ter sido resolvido, mas, como se vê, não foi totalmente remediado.

Como tal, a Agência de Segurança Cibernética e Infraestrutura (Cybersecurity and Infrastructure Security Agency, ou CISA) está pedindo aos usuários e administradores que atualizem para as versões mais recentes e corrigidas do Struts 2.

Falha RCE do Apache Struts não foi totalmente corrigida

Falha RCE do Apache Struts não foi totalmente corrigida
Falha RCE do Apache Struts não foi totalmente corrigida

Sim. A falha RCE do Apache Struts não foi totalmente corrigida. E, esta semana, o DHS CISA está pedindo às organizações que atualizem para o Struts2 versão 2.5.30 (ou superior), que corrige uma vulnerabilidade crítica de injeção de OGNL.

Rastreada como CVE-2021-31805, a vulnerabilidade crítica existe nas versões do Struts 2 de 2.0.0 até 2.5.29 inclusive.

A vulnerabilidade resulta de uma correção incompleta que foi aplicada para CVE-2020-17530, também um bug de injeção de OGNL, com uma classificação de gravidade de 9,8 (Crítica).

Object-Graph Navigation Language (OGNL) é uma linguagem de expressão (EL) de código aberto para Java que simplifica a gama de expressões usadas na linguagem Java.

OGNL também permite que os desenvolvedores trabalhem com arrays com mais facilidade. Mas, analisar expressões OGNL com base em entradas não confiáveis ​​ou brutas do usuário pode ser problemático, do ponto de vista da segurança.

Em 2020, os pesquisadores Alvaro Munoz do GitHub e Masato Anzai do Aeye Security Lab relataram uma falha de “avaliação dupla” nas versões 2.0.0 – 2.5.25 do Struts2, sob certas circunstâncias.

“Alguns dos atributos da tag podem realizar uma avaliação dupla se um desenvolvedor aplicasse a avaliação OGNL forçada usando a sintaxe %{…}”, afirma o comunicado para CVE-2020-17530.

“Usar a avaliação OGNL forçada em uma entrada de usuário não confiável pode levar a uma Execução Remota de Código e à degradação da segurança.”

Embora o Apache tenha resolvido o bug de 2020 no Struts 2.5.26, o pesquisador Chris McCown descobriu mais tarde que a correção aplicada estava incompleta.

Como tal, McCown relatou responsavelmente ao Apache que o problema de “avaliação dupla” ainda poderia ser reproduzido nas versões do Struts 2.5.26 e superiores, resultando na atribuição de CVE-2021-31805.

Os usuários são aconselhados a atualizar para o Struts 2.5.30 ou superior e evitar o uso de avaliação OGNL forçada nos atributos da tag com base na entrada do usuário não confiável.

Além disso, a Apache recomenda seguir seu guia de segurança para melhores práticas.

Falha RCE do Apache Struts não foi totalmente corrigida
Falha RCE do Apache Struts não foi totalmente corrigida

Foi um ano de componentes Java com vulnerabilidades de alto perfil, como Log4Shell e Spring4Shell, dominando o espaço de segurança cibernética.

Agora, com o renascimento dessa falha crítica de dois anos no Struts, os profissionais e organizações de segurança podem precisar examinar de perto seus ambientes de servidor web.

O framework Struts tem um histórico de vulnerabilidades críticas, em particular falhas de execução remota de código resultantes do uso inseguro de OGNL.

Outra falha de injeção de Struts 2 OGNL (CVE-2017-5638) já havia sido explorada em estado selvagem por agentes de ameaças, incluindo grupos de ransomware.

A gigante de relatórios de crédito ao consumidor Equifax confirmou mais tarde que o hack de 2017 na empresa resultou da exploração do CVE-2017-5638, que era um dia zero na época.

A violação de dados da Equifax comprometeu os dados de 143 milhões de usuários, pois os hackers roubaram nomes, números de segurança social (SSNs), datas de nascimento, endereços e, em alguns casos, números de carteira de motorista.

Números de cartão de crédito de cerca de 209.000 usuários americanos também foram acessados ​​por agentes de ameaças.

Sem revelar o número exato de indivíduos afetados, a Equifax confirmou que a violação também afetou os residentes britânicos e canadenses de alguma forma.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Ads Blocker Image Powered by Code Help Pro

Bloqueador de anúncios detectado!!!

Nosso site precisa de publicidade para existir. Por favor, insira-o na lista de permissões/lista branca para liberar a exibição de anúncios e apoiar nosso site. Nosso conteúdo é GRATUITO, e tudo o que pedimos é isso!
Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock