NEWS

CVE-2017-9805 | Apache Struts 2 - Vulnerabilità da remote code execution: l'analisi dei Lab Quick Heal.


GIOVEDÌ 7 SETTEMBRE 2017 - 14:56


Una vulnerabilità critica da remote code execution è stata individuata nel popolare framework per lo sviluppo di applicazioni web Apache Struts. La vulnerabilità consente ad un attaccante di eseguire codici arbitrari da remoto. Per risolvere questo problema, Apache Struts ha rilasciato un avviso e indicato con CVE-2017-9805 la vulnerabilità in questione. 

Un attaccante potrebbe sfruttare questa vulnerabilità per colpire aziende in tutto il mondo, data la diffusione di Apache Struts (in uso a circa il 65% delle grandi società del pianeta). Tutte le applicazioni web eseguite sul framework Apache Struts che usano il pluign REST (Representational State Transfer) sono affette da questa vulnerabilità. 

Versioni vulnerabili:
  • Struts 2.5 - Struts 2.5.12
Qualche dettaglio tecnico
La causa fondante di questa vulnerabilità si trova nella gestione del processo di de-serializzazione dei dati di input. Questa vulnerabilità consente ad un attaccante di eseguire da remoto dei codici tramite l'invio di richieste POST modificate. L'attaccante può infatti integrare comandi nel campo vulnerabile del corpo della richiesta POST. La vulnerabilità viene attivata durante l'elaborazione della richiesta POST modificata, con il campo "Content-Type" impostato su ‘application/xml’

Abbiamo ripropdotto la vulnerabilità usando un POC compatibile con Metasploit. Sotto è visibile i traffico catturato: si nota la richiesta POST modifcata che attiva la vulnerabilità. 

Fig 1: attivazione della vulnerabilità



Fig.2: Payload scaricato sul server in /tmp

Individuazione da parte di Quick Heal
Quick heal ha rilasciato il seguente identificativo IPS per la vulnerabilità CVE-2017-9805
  • VID-03103: Apache Struts Remote Command Execution
La patch
Questa vulnerabilità critica è stata risolta da Apache Struts. Raccomandiamo fortemente gli utenti di eseguire l'upgrade di Apache Struts alla versione 2.3.34 e 2.5.13 e di applicare gli aggiornamenti più recenti recenti di Quick Heal.

Le ultime news

Chi siamo

Risorse

Supporto

Area informativa

 





Distributore ufficiale per l'Italia
S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482




© 2017     |     Privacy Policy     |     Cookie Policy     |     Login