Компания Digital Security, предоставляющая консалтинговые услуги в области ИБ, сообщает об обнаружении опасной уязвимости в Apache Struts, Java-фреймворке с открытым исходным кодом. Уязвимость была найдена некоторое время назад Takeshi Terada из Mitsui Bussan Secure Directions, а теперь активно эксплуатируется китайскими хакерами.
Фреймворк Apache Struts сегодня очень распространен. Он не только используется для построения крупных веб-сайтов, но и является частью приложений корпоративного уровня. Кроме того, Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют Qiwi, Альфа-Банк.
16 июля было опубликовано описание очень серьезной уязвимости в Struts 2, приводящей к удаленному выполнению произвольного кода на сервере. Уже в последующие дни был создан эксплойт под данную уязвимость, и началась массовая волна атак, в основном из Китая, на различные компании. По имеющейся информации, нападениям подверглись, например, компании Apple, Nokia и Samsung с отмеченными случаями успешного проникновения. Российские подразделения этих корпораций, а также различные финансовые организации тоже были атакованы.
Основная опасность новой уязвимости Apache Struts в том, что она, во-первых, очень просто эксплуатируется, во-вторых, не требует аутентификации в системе, и, главное, ей подвержены все продукты второй ветки Struts, для которых не установлено последнее обновление. Таким образом, если злоумышленник подключится к веб-серверу с Struts 2 без соответствующего патча, он может захватить полный контроль над веб-сервером. Самое неприятное в том, что процесс поиска и эксплуатации уязвимости уже автоматизирован.
Алексей Тюрин, директор департамента аудита Digital Security, прокомментировал ситуацию: «У многих Java-разработчиков создается ложное представление о безопасности продуктов, написанных на Java. Конечно, в Java внедрены различные механизмы защиты, и уязвимости типа «переполнение буфера» им не опасны. Но многие разработчики даже не представляют, что имеется возможность для эксплуатации уязвимостей в веб-приложении, которые могли бы привести к таким последствиям, как удаленное выполнение произвольного кода на сервере».
Между тем, это далеко не первая такая опасная уязвимость. Например, Meder Kydyraliev из Google в 2011 году так же нашел несколько уязвимостей в Struts 2, которые приводили к удаленному выполнению кода. И вообще, приблизительно каждый год находится что-то подобное.
По причине того, что многие компании не осведомлены о возможных проблемах и о том, что существует возможность атаки через уязвимости в фреймворке, злоумышленники могут плавно проникать в системы и закрепляться там.
Алексей Тюрин предупреждает: «Сейчас эксплуатация уязвимостей в Struts не представляет большого труда для продвинутых хакеров. Поэтому необходимо в самом оперативном режиме установить обновления на ваши Struts 2. Перед установкой нужно убедиться, что в вашу систему не было совершено проникновение».
Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Digital Security предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, аудит защищенности бизнес-приложений (SAP, Oracle, веб-приложения, системы ДБО), аудит защищенности АСУ ТП и SCADA. Digital Security имеет статус PCI QSA и PA QSA. Финансовым организациям компания оказывает полный комплекс услуг по достижению соответствия Стандарту безопасности данных индустрии платежных карт (PCI DSS). С 2002 года клиентами Digital Security стали более 500 компаний на всей территории России, стран СНГ и Балтии, а также в Восточной Европе, Германии и ЮАР. Со многими из них за это время сложились долгосрочные партнерские отношения.
Digital Security является официальным сервис-партнером SAP AG, международным лидером по поиску и анализу уязвимостей в продуктах SAP, а также разработчиком ERPScan Security Monitoring Suite – инновационного продукта по комплексной оценке защищенности и проверке соответствия стандартам для платформы SAP.
- Стоимость медиауслуг (открыть PDF) -
.png)