Обнаружена опасная уязвимость в ApacheStruts

Фреймворк ApacheStruts сегодня очень распространен. Он не только используется для построения крупных веб-сайтов, но и является частью приложений корпоративного уровня. Кроме того, ApacheStruts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют Qiwi, Альфа-Банк.

16 июля было опубликовано описание очень серьезной уязвимости в Struts 2, приводящей к удаленному выполнению произвольного кода на сервере. Уже в последующие дни был создан эксплойт под данную уязвимость, и началась массовая волна атак, в основном из Китая, на различные компании. Поимеющейся информации, нападениям подверглись, например, компании Apple, Nokia и Samsung с отмеченными случаями успешного проникновения. Российские подразделения этих корпораций, а также различные финансовые организации тоже были атакованы.

Основная опасность новой уязвимости ApacheStruts в том, что она, во-первых, очень просто эксплуатируется, во-вторых, не требует аутентификации в системе, и, главное, ей подвержены все продукты второй ветки Struts, для которых не установлено последнее обновление. Таким образом, если злоумышленник подключится к веб-серверу с Struts 2 без соответствующего патча, он может захватить полный контроль над веб-сервером. Самое неприятное в том, что процесс поиска и эксплуатации уязвимости уже автоматизирован.

Алексей Тюрин, директор департамента аудита DigitalSecurity, прокомментировал ситуацию: «У многих Java-разработчиков создается ложное представление о безопасности продуктов, написанных на Java.Конечно, в Java внедрены различные механизмы защиты, и уязвимости типа «переполнение буфера» им не опасны. Но многие разработчики даже не представляют, что имеется возможность для эксплуатации уязвимостей в веб-приложении, которые могли бы привести к таким последствиям, как удаленное выполнение произвольного кода на сервере».

Между тем, это далеко не первая такая опасная уязвимость. Например, Meder Kydyraliev из Google в 2011 году так же нашел несколько уязвимостей в Struts 2, которые приводили к удаленному выполнению кода. И вообще, приблизительно каждый год находится что-то подобное.

По причине того, что многие компании не осведомлены о возможных проблемах и о том, что существует возможность атаки через уязвимости в фреймворке, злоумышленники могут плавно проникать в системы и закрепляться там.

Алексей Тюрин предупреждает: «Сейчас эксплуатация уязвимостей в Struts не представляет большого труда для продвинутых хакеров. Поэтому необходимо в самом оперативном режиме установить обновления на ваши Struts 2. Перед установкой нужно убедиться, что в вашу систему не было совершено проникновение».