Tin tặc đang cố gắng khai thác lỗ hổng Apache Struts nghiêm trọng, đã được vá gần đây (CVE-2023-50164), có thể dẫn đến việc thực thi mã từ xa, trong các cuộc tấn công dựa vào mã khai thác (PoC) đã có sẵn công khai.
Theo Shadowserver, có vẻ như các tác nhân đe dọa mới bắt đầu khai thác, các nhà nghiên cứu đã quan sát thấy một số lượng nhỏ địa chỉ IP tham gia vào hoạt động khai thác.
Apache Struts là một framework nguồn mở dành cho ứng dụng web, được thiết kế để hỗ trợ việc phát triển các ứng dụng web Java EE, cung cấp giao diện dựa trên biểu mẫu và khả năng tích hợp mở rộng.
Framework này được sử dụng rộng rãi trong nhiều ngành công nghiệp khác nhau ở cả khu vực tư nhân và công cộng, bao gồm cả các tổ chức chính phủ, vì tính hiệu quả trong việc xây dựng các ứng dụng web có khả năng mở rộng, đáng tin cậy và dễ bảo trì.
Vào ngày 7 tháng 12, Apache đã phát hành phiên bản Struts 6.3.0.2 và 2.5.33 để giải quyết lỗ hổng nghiêm trọng CVE-2023-50164.
Vấn đề liên quan đến một lỗi path traversal, có thể bị khai thác trong một số điều kiện nhất định. Nó có thể cho phép kẻ tấn công tải lên các tệp độc hại và thực thi mã từ xa (RCE) trên máy chủ mục tiêu. Tác nhân đe dọa khai thác thành công lỗ hổng này có thể sửa đổi trái phép các tệp nhạy cảm, đánh cắp dữ liệu, làm gián đoạn các dịch vụ quan trọng hoặc mở rộng phạm vi xâm phạm trong mạng.
Lỗ hổng RCE ảnh hưởng đến các phiên bản Struts từ 2.0.0 đến 2.3.37 (các phiên này hiện không còn được hỗ trợ bản vá), Struts 2.5.0 đến 2.5.32 và Struts 6.0.0 đến 6.3.0.
Vào ngày 10 tháng 12, một nhà nghiên cứu bảo mật đã chia sẻ công khai một bài viết kỹ thuật cho CVE-2023-50164, giải thích cách tác nhân đe dọa có thể kiểm soát các tham số tải tệp lên trong các cuộc tấn công. Bài viết thứ hai, bao gồm mã khai thác cho lỗ hổng, đã được phát hành sau đó 2 ngày.
Cisco có thể bị ảnh hưởng
Trong một tư vấn bảo mật gần đây, Cisco cho biết họ đang điều tra CVE-2023-50164 để xác định sản phẩm nào của họ có thể bị ảnh hưởng bởi lỗ hổng này và mức độ ảnh hưởng của nó.
Các sản phẩm Cisco đang được phân tích bao gồm Customer Collaboration Platform, Identity Services Engine (ISE), Nexus Dashboard Fabric Controller (NDFC), Unified Communications Manager (Unified CM), Unified Contact Center Enterprise (Unified CCE), và Prime Infrastructure.
Danh sách đầy đủ các sản phẩm Cisco có khả năng bị ảnh hưởng có sẵn tại đây.
Để giảm thiểu các nguy cơ bị khai thác tấn công, các nhà phát triển nên nhanh chóng kiểm tra và cập nhật bản vá tương ứng cho phiên bản Struts đang sử dụng trong các hệ thống, ứng dụng của mình càng sớm càng tốt.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Apache đã phát hành một tư vấn bảo mật để cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong framework ứng dụng web nguồn mở Struts 2 có thể dẫn đến việc thực thi mã từ xa.
Tín nhiệm mạng | Microsoft đã phát hành bản cập nhật bảo mật hằng tháng Patch Tuesday cuối cùng của năm 2023, bao gồm các bản vá cho 34 lỗ hổng, và một lỗ hổng chưa được vá đã được tiết lộ trước đó trong CPU AMD
Tín nhiệm mạng | Apple đã phát hành các bản cập nhật bảo mật khẩn cấp để vá hai lỗ hổng zero-day đang bị khai thác tích cực trên các iPhone cũ hơn cũng như một số mẫu Apple Watch và Apple TV.
Tín nhiệm mạng | WordPress đã phát hành phiên bản 6.4.2 nhằm giải quyết lỗ hổng có thể được kết hợp với một lỗ hổng khác để cho phép kẻ tấn công thực thi mã PHP tùy ý trên trang web mục tiêu
Tín nhiệm mạng | Một lỗ hổng Bluetooth nghiêm trọng đã được phát hiện, có thể bị các tác nhân đe dọa khai thác để chiếm quyền kiểm soát các thiết bị Android, Linux, macOS và iOS.
Tín nhiệm mạng | Atlassian đã phát hành các bản cập nhật bảo mật để giải quyết bốn lỗ hổng nghiêm trọng trong phần mềm của họ, nếu bị khai thác thành công có thể dẫn đến việc thực thi mã từ xa.