A Cybersecurity and Infrastructure Security Agency relatou que uma falha RCE do Apache Struts não foi totalmente corrigida.
Struts é uma estrutura de desenvolvimento de aplicativos de código aberto usada por desenvolvedores da Web Java para criar aplicativos MVC (model-view-controller).
Recentemente, o Apache corrigiu uma vulnerabilidade crítica em seu projeto Struts amplamente popular que anteriormente se acreditava ter sido resolvido, mas, como se vê, não foi totalmente remediado.
Como tal, a Agência de Segurança Cibernética e Infraestrutura (Cybersecurity and Infrastructure Security Agency, ou CISA) está pedindo aos usuários e administradores que atualizem para as versões mais recentes e corrigidas do Struts 2.
Falha RCE do Apache Struts não foi totalmente corrigida
Sim. A falha RCE do Apache Struts não foi totalmente corrigida. E, esta semana, o DHS CISA está pedindo às organizações que atualizem para o Struts2 versão 2.5.30 (ou superior), que corrige uma vulnerabilidade crítica de injeção de OGNL.
Rastreada como CVE-2021-31805, a vulnerabilidade crítica existe nas versões do Struts 2 de 2.0.0 até 2.5.29 inclusive.
A vulnerabilidade resulta de uma correção incompleta que foi aplicada para CVE-2020-17530, também um bug de injeção de OGNL, com uma classificação de gravidade de 9,8 (Crítica).
Object-Graph Navigation Language (OGNL) é uma linguagem de expressão (EL) de código aberto para Java que simplifica a gama de expressões usadas na linguagem Java.
OGNL também permite que os desenvolvedores trabalhem com arrays com mais facilidade. Mas, analisar expressões OGNL com base em entradas não confiáveis ou brutas do usuário pode ser problemático, do ponto de vista da segurança.
Em 2020, os pesquisadores Alvaro Munoz do GitHub e Masato Anzai do Aeye Security Lab relataram uma falha de “avaliação dupla” nas versões 2.0.0 – 2.5.25 do Struts2, sob certas circunstâncias.
“Alguns dos atributos da tag podem realizar uma avaliação dupla se um desenvolvedor aplicasse a avaliação OGNL forçada usando a sintaxe %{…}”, afirma o comunicado para CVE-2020-17530.
“Usar a avaliação OGNL forçada em uma entrada de usuário não confiável pode levar a uma Execução Remota de Código e à degradação da segurança.”
Embora o Apache tenha resolvido o bug de 2020 no Struts 2.5.26, o pesquisador Chris McCown descobriu mais tarde que a correção aplicada estava incompleta.
Como tal, McCown relatou responsavelmente ao Apache que o problema de “avaliação dupla” ainda poderia ser reproduzido nas versões do Struts 2.5.26 e superiores, resultando na atribuição de CVE-2021-31805.
Os usuários são aconselhados a atualizar para o Struts 2.5.30 ou superior e evitar o uso de avaliação OGNL forçada nos atributos da tag com base na entrada do usuário não confiável.
Além disso, a Apache recomenda seguir seu guia de segurança para melhores práticas.
Foi um ano de componentes Java com vulnerabilidades de alto perfil, como Log4Shell e Spring4Shell, dominando o espaço de segurança cibernética.
Agora, com o renascimento dessa falha crítica de dois anos no Struts, os profissionais e organizações de segurança podem precisar examinar de perto seus ambientes de servidor web.
O framework Struts tem um histórico de vulnerabilidades críticas, em particular falhas de execução remota de código resultantes do uso inseguro de OGNL.
Outra falha de injeção de Struts 2 OGNL (CVE-2017-5638) já havia sido explorada em estado selvagem por agentes de ameaças, incluindo grupos de ransomware.
A gigante de relatórios de crédito ao consumidor Equifax confirmou mais tarde que o hack de 2017 na empresa resultou da exploração do CVE-2017-5638, que era um dia zero na época.
A violação de dados da Equifax comprometeu os dados de 143 milhões de usuários, pois os hackers roubaram nomes, números de segurança social (SSNs), datas de nascimento, endereços e, em alguns casos, números de carteira de motorista.
Números de cartão de crédito de cerca de 209.000 usuários americanos também foram acessados por agentes de ameaças.
Sem revelar o número exato de indivíduos afetados, a Equifax confirmou que a violação também afetou os residentes britânicos e canadenses de alguma forma.