Otkrivena kritična ranjivost u Apache Struts okviru

Zavod za sigurnost informacijskih sustava (ZSIS) uočio je postojanje više javno dostupnih skripti (zloćudnog) programskog koda za iskorištavanje ranjivosti Apache Struts okvira za razvoj web stranica.

Postojanjem više javno dostupnih skripti (zloćudnog) programskog koda za iskorištavanje ranjivosti Apache Struts okvira može se očekivati povećan broj pokušaja iskorištavanja ranjivosti javno dostupnih web stranica.

Potencijalni napadači putem posebno oblikovanih HTTP upita, odnosno posebno oblikovanom vrijednošću Content-Type zaglavlja, mogu pokretati proizvoljne naredbe na poslužitelju koji koristi ranjivu inačicu Apache Struts razvojnog okvira. Za izvršavanje proizvoljnih naredbi nije potrebna prethodna prijava na web aplikaciju koja je razvijena u Apache Struts razvojnom okviru. Napadači ranjivost mogu iskorištavati u potpunosti anonimno, ako poslužitelj koristi ranjivu inačicu razvojnog okvira.

Preporuka ZSIS-a administratorima u svim tijelima i pravnim osobama je da provjere jesu li web aplikacije na sustavu razvijene u Apache Struts razvojnom okviru. U slučaju da jesu, potrebno je nadograditi razvojni okvir na inačicu 2.3.32 ili 2.5.10.1 s ciljem uklanjanja ranjivosti.

Trenutačno prisutnu inačicu Apache Struts razvojnog okvira moguće je utvrditi pregledom MANIFEST datoteke u META-INF direktoriju unutar struts.jar paketa.

Više informacija o pronađenoj kritičnoj ranjivosti moguće je pronaći na sljedećim URL adresama:

·         http://thehackernews.com/2017/03/apache-struts-framework.html
·         https://cwiki.apache.org/confluence/display/WW/S2-045
·         http://blog.talosintelligence.com/2017/03/apache-0-day-exploited.html