Se estima que un 65% de las compañías Fortune 100 podría ser vulnerable a un fallo de seguridad descubierto en Apache Struts
Yue Mo, encontró esta falla rastreado bajo el identificador de CVE-2.017-9805. La vulnerabilidad reside en el plugin de RESTO Apache Struts', una herramienta imprescindible en casi todos las implementaciones empresariales.De acuerdo con el investigador, la debilidad es causada por la forma en que Struts deserializa datos suministrados por el usuario unsanitized. Un atacante podría cargar un archivo con formato incorrecto y hacerse cargo de una aplicación después de obtener derechos de ejecución remota de código en el servidor de aplicaciones basado en puntales del objetivo.
Los atacantes pueden explotar el fallo a través de peticiones HTTP o mediante cualquier otra conexión de socket.
Yue MoMo dijo que contactó a la Fundación Apache e informo de la falla en privado. El 4 de septimebre, el equipo de Apache Struts lanzo Apache Struts v2.5.13, que incluye una solución para CVE-2.017-9805.
El investigador dijo que ni él ni lgtm.com han detectado ataques que trataron de aprovechar esta vulnerabilidad. No está disponible públicamente el código de explotación que estaba disponible en el momento de los avidoso de Apache Struts y lgtm.com.
Lockheed Martin, el IRS, Citigroup, Vodafone, Virgin Atlantic, el resumen del lector, Office Depot, y Showtime están entre las organizaciones que se sabe lo han utilizado para su infraestructura.
“Esto ilustra cuán extendido está el riesgo es”, dijo Bas van Schaik, portavoz lgtm.com.
A principios de este año, los investigadores descubrieron un Apache Struts día cero utilizado en ataques en vivo, que fue utilizado más adelante para instalar ransomware en servidores corporativos.
Este tipo de vulnerabilidad “deserializar” ha invadido el paisaje de Java desde principios de 2015, y ha sido recientemente descubierto a afectar a las aplicaciones .NET así.
La falla sacudió el ecosistema de Java en 2016, ya que también afectó a otras 70 bibliotecas de Java , e incluso fue utilizado para comprometer los servidores de PayPal.
Organizaciones tales como Apache, Oracle, Cisco, Red Hat, Jenkins, VMware, IBM, Intel, Adobe, HP, y SolarWinds, lanzaran parches de seguridad para solucionar esta vulnerabilidad en sus productos.
La deserialización defecto de Java era tan peligroso que los ingenieros de Google se unieron en su tiempo libre para reparar bibliotecas Java de código abierto y limitar el alcance de la falla, parches más de 2.600 proyectos. Internamente en Google, la falla se hace referencia a como Mad Gadget, pero el mundo se hace referencia a él como el Java Apocalipsis.
Fecha actualización el 2017-9-6. Fecha publicación el 2017-9-6. Categoría: Apache. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer