Digital Security сообщает о появлении опасной уязвимости в Apache Struts

28.04.2014

В рамках программы информирования банковского сообщества о значимых угрозах безопасности компания Digital Security, предоставляющая консалтинговые услуги в области ИБ, сообщает о появлении критичной уязвимости в Apache Struts2, Java-фреймворке с открытым исходным кодом.

Фреймворк Apache Struts сегодня очень распространен. Он не только используется для построения крупных веб-сайтов, но и является частью приложений корпоративного уровня. Кроме того, Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют некоторые ведущие российские финансовые организации.

24 апреля 2014 на китайских форумах появилось сообщение о 0-day-уязвимости в Apache Struts2. Основная ее опасность в том, что она может привести к отказу в обслуживании, а в некоторых условиях может вызвать произвольное выполнение кода.

Подвержены все версии 2-й ветки (2.0.0–2.3.16). Добиться произвольного выполнения кода возможно через манипуляцию с подстановкой классов (изменение значения ClassLoader, используя специальные запросы к серверу). Сама атака возможна вследствие некорректного регулярного выражения, которое было добавлено в качестве защиты для закрытия уязвимости, найденной в декабре 2013 (S2-020, http://struts.apache.org/release/2.3.x/docs/s2-020.html). То есть фактически все это время уязвимость так и не была до конца исправлена).

Пользователям Apache Struts2 срочно необходимо обновить конфигурацию Struts, следуя официальному заявлению разработчиков по ссылке http://struts.apache.org/announce.html#a20140424 до выхода обновления, которое будет доступно в течение 72 часов.

Новая инициатива информирования банковского сообщества о появлении критичных уязвимостей (http://dsec.ru/news/press/digital_security_warns_banks_of_danger/) возникла в ответ на участившиеся случаи мошеннических действий в банковской сфере, а также на недавние инциденты, поставившие под угрозу конфиденциальные данные (включая информацию о банковских счетах) миллионов пользователей по всему миру. Программа реализуется Digital Security совместно с клубом «Антидроп», куда входит более 500 российских банков.