盡快升級(jí)!攻擊者試圖利用Apache Struts漏洞CVE-2023-50164

CVE-2023-50164 是 Apache Struts 2 中最近修補(bǔ)的路徑遍歷漏洞，攻擊者正試圖利用 CVE-2023-50164 的公共漏洞利用證明 (PoC) 漏洞利用代碼。

近日，管理 Struts 庫的 Apache 基金會(huì)敦促開發(fā)人員應(yīng)用補(bǔ)丁來解決導(dǎo)致路徑遍歷攻擊的缺陷，該缺陷允許訪問 Web 服務(wù)器上攻擊者不應(yīng)訪問的其他目錄，并且在某些情況下能夠上傳惡意文件以進(jìn)行遠(yuǎn)程代碼執(zhí)行。該漏洞被跟蹤為 CVE-2023-50164，CVSS 評(píng)分為 9.8 分(滿分 10 分)。

Apache Struts 是一個(gè)用于開發(fā) Java EE Web 應(yīng)用程序的開源框架。全球多家公司包括財(cái)富100強(qiáng)企業(yè)和政府組織都在使用。

“攻擊者的目標(biāo)是部署 webshell，在某些情況下針對(duì)參數(shù)'fileFileName'——這與原始漏洞利用 PoC 的偏差，”網(wǎng)絡(luò)威脅情報(bào)公司的安全情報(bào)小組表示。

Shadowserver基金會(huì)也開始注意到他們的傳感器中的漏洞利用嘗試，但未看到成功利用。

專家表示，利用這一安全漏洞可能導(dǎo)致攻擊者修改敏感文件、數(shù)據(jù)盜竊、服務(wù)中斷甚至在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)。

另一所網(wǎng)絡(luò)安全公司表示，對(duì) CVE-2023-50164 的利用涉及幾個(gè)先決條件，具體取決于使用 Apache Struts 的應(yīng)用程序的行為和實(shí)現(xiàn)。“攻擊者很難大規(guī)模掃描和利用這個(gè)漏洞，”該公司稱。

漏洞影響版本

Source Incite安全人員報(bào)告CVE-2023-50164，通過操縱文件上傳參數(shù)實(shí)現(xiàn)路徑遍歷，并且在某些情況下，可能允許攻擊者上傳可用于實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的惡意文件。

該漏洞影響 Apache Struts 版本：

2.0.0 到 2.5.32

6.0.0 到 6.3.0.1

2.0.0 到 2.3.37(不再受支持)

目前已經(jīng)在Apache Struts 2.5.33和6.3.0.2版本中進(jìn)行了修復(fù)，Struts 2的開發(fā)人員和用戶已經(jīng)被敦促盡快升級(jí)。

PoC 漏洞利用代碼已公開

12月12日，該漏洞的分析和復(fù)制已經(jīng)發(fā)布，作者指出:“這個(gè)漏洞需要根據(jù)不同的場景產(chǎn)生不同的POC，因?yàn)槿绻谖募蟼鼽c(diǎn)進(jìn)行嚴(yán)格的攔截和檢查，將很難繞過?！?/p>

GreyNoise的檢測工程師發(fā)表分析指出，Apache Struts嵌入在各種企業(yè)級(jí)應(yīng)用程序中，并指出“雖然[研究人員]已經(jīng)證明你可以將任意shell.jsp或webshell拖放到Apache Struts2到Web應(yīng)用程序中(...)但被刪除的shell.jsp文件必須位于攻擊者可以遠(yuǎn)程訪問的有效路由中，才能被觸發(fā)?！边@在不同的web應(yīng)用程序中會(huì)有所不同。

參讀鏈接：

https://www.inforisktoday.com/hackers-exploiting-critical-apache-struts-flaw-a-23892

https://www.helpnetsecurity.com/2023/12/14/poc-exploit-cve-2023-50164/