Suscribete a Mi Canal en YOUTUBE

==> da CLIC AQUÍ

Canal netamente académico donde usted comprenderá como atacan los ciberdelincuentes y como protegerse de estos ataques.

No me hago responsable del mal uso de los conocimientos adquiridos. Por Favor, Siempre ÉTICOS !

Suscribete a Mi TWITTER

==> da CLIC AQUÍ

jueves, 9 de marzo de 2017

Exploit RCE para Apache Struts (Actualiza YA!)

Ayer de madrugada unos de los feeds chinos hizo saltar las alarmas llevando toda la atención a un PoC/Exploit In-the-Wild para la vulnerabilidad CVE-2017-5638 que permite RCE (ejecución remota de comandos) en las últimas versiones de Apache Struts. La vulnerabilidad afecta a Struts 2.3.5 a Struts 2.3.31 y Struts 2.5 a Struts 2.5.10.



Un script liberado por Nike Zheng (célebre y habitual hostigador de Struts), primero en páginas como Freebuf o Bobao, se aprovecha de un fallo en la función de upload del parser de Jakarta y muestra cómo modificar la cabecera Content-Header para inyectar comandos de sistema operativo cuando se llama a un action.
Si se ejecuta contra una aplicación vulnerable el resultado será la ejecución remota de comandos con el usuario que ejecuta el servidor.
Así de sencillo:


Cualquier búsqueda en Google con un dork "filetype:action" arroja unos 35 millones de resultados, de los cuales un alto porcentaje es vulnerable... el volumen y la criticidad de los servicios afectados es simplemente ... dramático.

El exploit ya ha saltado a las grandes páginas de 'advisories' y ya se han observado intentos de explotación masivos en Internet, incluso bastante sofisticados con el objetivo de conseguir persistencia o modificaciones como las que nos trae nuestro compi Sebastian Cornejo (curiositysec) que permite obtener el path de la aplicación, paso previo a la subida de una shell al servidor.

Recomendación

La criticidad es máxima y la noticia corre como la pólvora y urge tomar contramedidas.
  • Actualizar a Apache Struts (2.3.32 / 2.5.10.1 o posteriores)
  • Actualizar firmas del IDS/IPS. Por ej. Snort ya incluye reglas en server-apache.rules: SERVER-APACHE Apache Struts remote code execution attempt (SIDs: 41818, 41819)




_________________________________________________________________
Tomado de: http://blog.segu-info.com.ar/2017/03/exploit-rce-para-apache-struts.html#exploit-rce-para-apache-struts
Se respetan Derechos de Autor

No hay comentarios.:

Publicar un comentario