Apache Struts: nueva alerta lo pone en la mira

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Una nueva falla de seguridad detectada en Apache Struts permite a un atacante no autenticado ejecutar código arbitrario en un sistema vulnerable.

Aunque la Fundación de Software Apache lo clasificó como una vulnerabilidad alta, Cisco ha esbozado una larga lista de sus productos en el Aviso de Seguridad que se ven afectados por esta falla.

Alcance del problema

La vulnerabilidad está contenida en la funcionalidad FreeMarker del paquete Apache Struts 2.

FreeMarker Template Language es muy utilizado en Apache Struts y en numerosos proyectos basados ​​en Java.

Los desarrolladores pueden utilizarlo para enlazar valores de parámetros enviados desde una aplicación de usuario a un servidor con variables internas declaradas de la aplicación.

Un rendimiento incorrecto hace posible que los atacantes envíen expresiones OGNL (Object Graph Navigation Language) al servidor, cuyo procesamiento puede causar la ejecución arbitraria de código.

Actualmente, la vulnerabilidad se confirma en varios productos de Cisco:

Cisco Digital Media Manager – no se publicará ningún parche ya que el soporte del producto fue oficialmente cesado el 19 de agosto de 2016

Cisco Hosted Collaboration Solution para Contact Center

Cisco Unified Contact Center Enterprise

Cisco Unified Intelligent Contact Management Empresa

Más de 20 productos de Cisco están aún bajo investigación para determinar si tienen defectos de seguridad.

La información finalizada estará disponible en la actualización del Aviso de seguridad.

No sólo Cisco: fue vulnerado en Equifax

Aparte de CVE-2017-12611 (S2-053), varias fallas de seguridad similares, incluyendo CVE-2017-9805 (S2-052), CVE-2017-9791 (S2-048) y CVE-2017-5638 (S2- 045), ya había sido detectado en Apache Struts.

Los medios informaron que los hackers explotaron una vulnerabilidad en Apache Struts para robar los registros de clientes de la agencia de informes crediticios Equifax. Los detalles exactos del ataque aún no fueron confirmados.

Este tipo de ataques pueden ser utilizados para robar datos de tarjetas de crédito o utilizar información sobre personas que tienen una buena puntuación de crédito para engañar a los bancos y obtener préstamos.

Por otra parte, el sitio web de Equifax utilizado para configurar la supervisión de cuentas de crédito también resultó tener una vulnerabilidad que los hackers podrían explotar para robar los datos de los usuarios.

A raíz de la violación de Equifax, el equipo de desarrollo de Apache Struts emitió una declaración con una recomendación a todos los usuarios del marco aconsejando el uso de herramientas especiales para garantizar la seguridad de la infraestructura.

Cómo protegerse

Aunque una serie de productos de Cisco son vulnerables a CVE-2017-12611, es probable que esto no tenga consecuencias a gran escala, ya que una aplicación bajo ataque necesita tener una configuración específica para que esta vulnerabilidad pueda ser explotada correctamente.

Si los desarrolladores no utilizan estructuras FreeMarker Template Language o aplican exclusivamente entidades de solo lectura para inicializar atributos, es imposible explotar el error.

En lo personal recomiendo a los desarrolladores de aplicaciones instalar Apache Struts versión 2.5.12 o 2.3.34, que contienen una configuración más restringida de FreeMarker.

Esto reduce el riesgo de un ataque exitoso de forma significativa.

 

Por Josep Verdura – Analista de Seguridad de Vintegris