🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Tin tặc đang khai thác lỗ hổng nghiêm trọng của Apache Struts sau khi PoC được công bố

14/12/2023

Tin tặc đang cố gắng khai thác lỗ hổng Apache Struts nghiêm trọng, đã được vá gần đây (CVE-2023-50164), có thể dẫn đến việc thực thi mã từ xa, trong các cuộc tấn công dựa vào mã khai thác (PoC) đã có sẵn công khai.

Theo Shadowserver, có vẻ như các tác nhân đe dọa mới bắt đầu khai thác, các nhà nghiên cứu đã quan sát thấy một số lượng nhỏ địa chỉ IP tham gia vào hoạt động khai thác.

Apache Struts là một framework nguồn mở dành cho ứng dụng web, được thiết kế để hỗ trợ việc phát triển các ứng dụng web Java EE, cung cấp giao diện dựa trên biểu mẫu và khả năng tích hợp mở rộng.

Framework này được sử dụng rộng rãi trong nhiều ngành công nghiệp khác nhau ở cả khu vực tư nhân và công cộng, bao gồm cả các tổ chức chính phủ, vì tính hiệu quả trong việc xây dựng các ứng dụng web có khả năng mở rộng, đáng tin cậy và dễ bảo trì.

Vào ngày 7 tháng 12, Apache đã phát hành phiên bản Struts 6.3.0.2 và 2.5.33 để giải quyết lỗ hổng nghiêm trọng CVE-2023-50164.

Vấn đề liên quan đến một lỗi path traversal, có thể bị khai thác trong một số điều kiện nhất định. Nó có thể cho phép kẻ tấn công tải lên các tệp độc hại và thực thi mã từ xa (RCE) trên máy chủ mục tiêu. Tác nhân đe dọa khai thác thành công lỗ hổng này có thể sửa đổi trái phép các tệp nhạy cảm, đánh cắp dữ liệu, làm gián đoạn các dịch vụ quan trọng hoặc mở rộng phạm vi xâm phạm trong mạng.

Lỗ hổng RCE ảnh hưởng đến các phiên bản Struts từ 2.0.0 đến 2.3.37 (các phiên này hiện không còn được hỗ trợ bản vá), Struts 2.5.0 đến 2.5.32 và Struts 6.0.0 đến 6.3.0.

Vào ngày 10 tháng 12, một nhà nghiên cứu bảo mật đã chia sẻ công khai một bài viết kỹ thuật cho CVE-2023-50164, giải thích cách tác nhân đe dọa có thể kiểm soát các tham số tải tệp lên trong các cuộc tấn công. Bài viết thứ hai, bao gồm mã khai thác cho lỗ hổng, đã được phát hành sau đó 2 ngày.

Cisco có thể bị ảnh hưởng

Trong một tư vấn bảo mật gần đây, Cisco cho biết họ đang điều tra CVE-2023-50164 để xác định sản phẩm nào của họ có thể bị ảnh hưởng bởi lỗ hổng này và mức độ ảnh hưởng của nó.

Các sản phẩm Cisco đang được phân tích bao gồm Customer Collaboration Platform, Identity Services Engine (ISE), Nexus Dashboard Fabric Controller (NDFC), Unified Communications Manager (Unified CM), Unified Contact Center Enterprise (Unified CCE), và Prime Infrastructure.

Danh sách đầy đủ các sản phẩm Cisco có khả năng bị ảnh hưởng có sẵn tại đây.

Để giảm thiểu các nguy cơ bị khai thác tấn công, các nhà phát triển nên nhanh chóng kiểm tra và cập nhật bản vá tương ứng cho phiên bản Struts đang sử dụng trong các hệ thống, ứng dụng của mình càng sớm càng tốt.

Nguồn: bleepingcomputer.com.

scrolltop