దోపిడీ కింద అపాచీ స్ట్రట్స్‌లో క్లిష్టమైన భద్రతా లోపం

Apache Struts 2లోని ఒక క్లిష్టమైన భద్రతా లోపం, గత వారం ప్యాచ్ చేయబడింది, ఇప్పుడు పబ్లిక్‌గా అందుబాటులో ఉన్న ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ (PoC) కోడ్‌ని ఉపయోగించి ఉపయోగించబడుతోంది.

స్ట్రట్స్ అనేది జావా-ఆధారిత వెబ్ అప్లికేషన్ ఫ్రేమ్‌వర్క్, ఇది పెద్ద సంస్థలు మరియు ప్రభుత్వ సంస్థలచే విస్తృతంగా ఉపయోగించబడుతుంది. ఈ ఓపెన్ సోర్స్ ప్రాజెక్ట్‌లోని బగ్‌లు సరిగ్గా ముగియవు – గుర్తుంచుకోండి “పూర్తిగా నివారించదగినది” ఈక్విఫాక్స్ ఉల్లంఘన 2017లో?

వైఫల్యం గా గుర్తించబడింది CVE-2024-5367710కి 9.5 CVSS రిస్క్ రేటింగ్‌ను పొందింది మరియు స్ట్రట్స్ వెర్షన్‌లు 2.0.0 నుండి 2.3.37 (జీవితాంతం), 2.5.0 నుండి 2.5.33, మరియు 6.0.0 నుండి 6.3.0.2 వరకు ప్రభావితం చేస్తుంది.

6.4.0లో నిలిపివేయబడిన మరియు 7.0.0లో పూర్తిగా తీసివేయబడిన స్ట్రట్స్ ఫైల్ అప్‌లోడ్ ఇంటర్‌సెప్టర్ కాంపోనెంట్‌ని ఉపయోగించని అప్లికేషన్‌లు సురక్షితంగా ఉంటాయి.

దాడి చేసేవారు ఫైల్ అప్‌లోడ్ పారామితులను మార్చడానికి మరియు పాత్ ట్రావర్సల్‌ను అనుమతించడానికి ఈ బగ్‌ని ఉపయోగించుకోవచ్చు. హానికరమైన ఫైల్‌లను నియంత్రిత డైరెక్టరీలకు అప్‌లోడ్ చేయడానికి ఇది దుర్వినియోగం చేయబడుతుంది మరియు కొన్ని షరతులలో రిమోట్ కోడ్ అమలు (RCE)కి దారితీయవచ్చు.

సెక్యూరిటీ ఇంటెలిజెన్స్ మరియు ఆటోమేషన్ ప్రొవైడర్ క్వాలిస్‌గా హెచ్చరించారు దాని సలహాలో, “CVE-2024-53677 వంటి దుర్బలత్వం సున్నితమైన డేటాను కోల్పోవడం మరియు పూర్తి సిస్టమ్ రాజీ వంటి సుదూర ప్రభావాలను కలిగి ఉంటుంది”.

మరియు ఇప్పుడు, ఇన్ఫోసెక్ ఎడ్యుకేషన్ టీమ్‌కు చెందిన SANS రీసెర్చ్ డీన్ జోహన్నెస్ ఉల్రిచ్ ప్రకారం, దాడి చేసేవారు ఈ దుర్బలత్వాన్ని ఉపయోగించుకోవడానికి చురుకుగా ప్రయత్నిస్తున్నారు ఈ POC కోడ్.

“ఈ సమయంలో, దోపిడీ ప్రయత్నాలు హాని కలిగించే వ్యవస్థలను లెక్కించడానికి ప్రయత్నిస్తాయి” అని ఉల్రిచ్ చెప్పారు. గమనించారు.

లేదా కనీసం, దోపిడీ ప్రయత్నాలు ఈ బగ్ ద్వారా “ప్రేరేపితమైనవి”, ఎందుకంటే ఈ కోడ్‌ని ఉపయోగించి దాడి చేయగల కనీసం రెండు దుర్బలత్వాలు ఉన్నాయి, అతను జోడించాడు.

సంబంధం లేకుండా, వినియోగదారులు వెంటనే కనీసం స్ట్రట్స్ 6.4.0 (లేదా కొత్త వెర్షన్)కి అప్‌డేట్ చేయాలని మేము సూచిస్తున్నాము. అయితే, వంటి ది రికార్డ్ నివేదించారు గత వారం, ఇది సాధారణ పని కాదు. ఇదిగో అపాచీ సలహా ఇచ్చాడు డిసెంబర్ 12 విడుదలలో:

ఉల్రిచ్ కూడా ఎత్తి చూపినట్లుగా: కొత్త దుర్బలత్వం, CVE-2024-53677, దీనికి సంబంధించినదిగా కనిపిస్తుంది CVE-2023-50164డిసెంబరు 2023లో అపాచీ పాచ్ చేసింది. “పాత దుర్బలత్వం కూడా అదే విధంగా ఉంటుంది, మరియు అసంపూర్ణమైన ప్యాచ్ కొత్త సమస్యకు దారి తీసి ఉండవచ్చు” అని అతను చెప్పాడు. ®