Recentemente è stata scoperta una vulnerabilità critica nel sistema Apache Struts, una popolare struttura di applicazioni web, che potrebbe consentire l'esecuzione remota di codice. Questa vulnerabilità, identificata come CVE-2024-53677, ha un punteggio CVSS di 9.5 su 10, indicando un livello di gravità estremamente alto. Simile a un'altra vulnerabilità critica risolta nel dicembre 2023, la CVE-2023-50164, anche questa nuova falla è stata rapidamente presa di mira dagli attori delle minacce poco dopo la sua divulgazione pubblica.

Il problema riguarda la manipolazione dei parametri di caricamento dei file, che permette un potenziale attraversamento dei percorsi e, in alcuni casi, il caricamento di file dannosi. Questi file possono essere utilizzati per eseguire comandi dannosi, estrarre dati o scaricare ulteriori payload per attacchi successivi. La vulnerabilità impatta diverse versioni di Apache Struts, ma è stata risolta a partire dalla versione 6.4.0. Le versioni vulnerabili includono Struts 2.0.0 - 2.3.37, Struts 2.5.0 - 2.5.33 e Struts 6.0.0 - 6.3.0.2.

Dr. Johannes Ullrich

Dr. Johannes Ullrich, ricercatore presso il SANS Technology Institute, ha indicato che un patch incompleto per la CVE-2023-50164 potrebbe aver contribuito a questo nuovo problema. Inoltre, ha segnalato che tentativi di sfruttamento che corrispondono al proof-of-concept pubblicato sono stati osservati in natura. Questi tentativi sembrano mirare a enumerare i sistemi vulnerabili, con scansioni provenienti principalmente dall'indirizzo IP 169.150.226.162.

Per mitigare i rischi, gli utenti sono invitati ad aggiornare immediatamente alla versione più recente di Apache Struts e a riscrivere il proprio codice per utilizzare il nuovo meccanismo di caricamento dei file di azione e l'intercettore correlato. Apache Struts è ampiamente utilizzato in molti stack IT aziendali, supportando portali pubblici, applicazioni interne e flussi di lavoro aziendali critici. La sua popolarità in contesti ad alto rischio significa che una vulnerabilità come la CVE-2024-53677 potrebbe avere implicazioni di vasta portata.

Censys

Censys, una società di gestione della superficie di attacco, ha riferito di aver osservato 13.539 applicazioni web esposte che utilizzano il framework Apache Struts. Tuttavia, non tutte queste istanze stanno eseguendo una versione vulnerabile. Una significativa proporzione di queste (69%) è geolocalizzata negli Stati Uniti.