Το ελάττωμα του Apache Struts ευνοεί τους χάκερς να χτυπήσουν διάσημες εταιρίες.
Μια κρίσιμη ευπάθεια που βρέθηκε στο Apache Struts θα μπορούσε να επιτρέψει στους χάκερ να προκαλέσουν τεράστια ζημιά στις μεγάλες εταιρείες που απαρτίζουν το Fortune 100.
Το Apache Struts είναι ένα πλαίσιο ανοικτού κώδικα που χρησιμοποιείται για την ανάπτυξη εφαρμογών ιστού και χρησιμοποιείται από επιχειρήσεις σε ολόκληρο τον κόσμο. Εταιρείες όπως η Lockheed Martin, η Vodafone, η Virgin Atlantic και άλλοι είναι μεταξύ εκείνων που έχουν αναπτύξει εφαρμογές χρησιμοποιώντας το πλαίσιο Apache Struts.
Σύμφωνα με τους ειδικούς ασφαλείας που ανίχνευσαν το ελάττωμα , η ευπάθεια θα μπορούσε να επιτρέψει στους χάκερς να εκτελέσουν εξ αποστάσεως αυθαίρετο κώδικα σε οποιεσδήποτε εφαρμογές που χρησιμοποιούν διακομιστές χρησιμοποιώντας το plugin REST που αναπτύχθηκε με το Struts.
“Το πλαίσιο του Struts χρησιμοποιείται από έναν απίστευτα μεγάλο αριθμό και ποικιλία οργανισμών.Αυτή η ευπάθεια δημιουργεί τεράστιο κίνδυνο επειδή το πλαίσιο χρησιμοποιείται συνήθως για το σχεδιασμό εφαρμογών web που είναι προσβάσιμες από το κοινό”, δήλωσε ο Man Yue Mo, ερευνητής ασφάλειας στο LGTM, ο οποίος εργάζεται σκληρά για την ανακάλυψη του ελάττωματος. “Το Struts χρησιμοποιείται σε πολλά συστήματα κράτησης αεροπορικών εταιρειών καθώς και σε πολλά χρηματοπιστωτικά ιδρύματα που το χρησιμοποιούν σε εφαρμογές ηλεκτρονικής τραπεζικής. Επιπλέον, είναι απίστευτα εύκολο για έναν εισβολέα να εκμεταλλευτεί αυτή την αδυναμία: το μόνο που χρειάζεστε είναι ένα πρόγραμμα περιήγησης ιστού”.
Σύμφωνα με τους ερευνητές του LGTM, το ελάττωμα προκλήθηκε από τον τρόπο με τον οποίο ο Struts συγκεντρώνει μη αξιόπιστα δεδομένα.
“Δεν μπορώ να τονίσω πόσο απίστευτα εύκολο είναι αυτό να εκμεταλλευτείτε”, δήλωσε στο ZDNet ο κ. Bas van Schaik, υπεύθυνος της εταιρείας στο Semmle, η εταιρεία του οποίου το λογισμικό χρησιμοποιήθηκε για να ανακαλύψει το ελάττωμα Struts. “Ένας δημιουργικός επιτιθέμενος θα έχει μια μέρα αγώνα και ακόμη χειρότερα: Ο οργανισμός που δέχεται επίθεση δεν μπορεί να παρατηρήσει τι ακριβώς συμβαίνει και είναι καταδικασμένος να το διαπιστώσει όταν θα είναι πολύ αργά”.
Ο Schaik επίσης προειδοποίησε ότι το ελάττωμα θα μπορούσε να επιτρέψει στους χάκερ να κλέψουν ή ακόμα και να διαγράψουν τα ευαίσθητα εταιρικά και πελατειακά δεδομένα.
Σχεδόν το 65% των εταιρειών Fortune 100 εκτιμάται ότι χρησιμοποιεί ενεργά εφαρμογές ιστού που κατασκευάζονται με το πλαίσιο Apache Struts, σύμφωνα με τον αναλυτή Fintan Ryan στο RedMonk.
Το Apache Struts κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα που αφορά την ευπάθεια. Ωστόσο, για οργανισμούς που ενδέχεται να επηρεαστούν από το ελάττωμα, η ενημέρωση απλώς μπορεί να μην είναι αρκετή.
“Το πρόβλημα με τα τρωτά σημεία της αποεπικαλύψεως είναι ότι πολλές φορές ο κώδικας εφαρμογής βασίζεται ακριβώς στις ριπές μη ασφαλούς αποεπικαλύψεως που εκμεταλλεύονται οι επιτήδειοι- επομένως, όποιος επηρεάζεται από αυτήν την ευπάθεια πρέπει να λάβει απλώς την εφαρμογή μιας ενημερωμένης έκδοσης κώδικα και την επανεκκίνηση της υπηρεσίας, με τον τρόπο με τον οποίο η υποκείμενη εφαρμογή θα επεξεργαστεί τα εισερχόμενα δεδομένα.Το Apache αναφέρει αυτό στην ενότητα «Backward Compatibility» του S2-052.Οι ενημερώσεις που αναφέρουν «είναι πιθανό ότι ορισμένες ενέργειες REST σταματούν να λειτουργούν» και είναι αρκετές για να προκαλέσουν πρόβλημα, οι οποίοι πρέπει με τη σειρά τους να εξασφαλίσουν την υποδομή τους και να διασφαλίσουν ότι οι εφαρμογές θα συνεχίσουν να λειτουργούν κανονικά “, δήλωσε η Tod Beardsley, διευθυντής έρευνας της Rapid7 στην IBTimes UK .