Struts de Apache: Cisco no encuentra una solución

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Cisco lanzó hoy treinta avisos de parches de seguridad para abordar un total de 32 vulnerabilidades de seguridad en sus productos, tres de los cuales son críticos, incluida la vulnerabilidad de ejecución remota de código de Apache Struts que se está explotando en el ecosistema cibercriminal.

De las 29 vulnerabilidades restantes, catorce tienen una calificación alta y 15 de gravedad media, abordando fallas de seguridad en Cisco Routers, Cisco Webex, Cisco Umbrella, Cisco SD-WAN Solution, Cisco Cloud Services Platform, Cisco Data Center Network y otros productos.

Las 3 vulnerabilidades críticas de seguridad parcheadas por los problemas de direcciones de Cisco en Apache Struts, Cisco Umbrella API y la interfaz de administración del router Cisco RV110W, RV130W y RV215W.

Vulnerabilidad de ejecución remota de código en Struts de Apache (CVE-2018-11776)

La vulnerabilidad, informada a fines del mes pasado, reside en el núcleo de Apache Struts y se origina debido a la validación insuficiente de las entradas no confiables provistas por el usuario en el núcleo del marco de Struts bajo ciertas configuraciones.

“La vulnerabilidad existe porque el software afectado no valida suficientemente la entrada suministrada por el usuario, lo que permite el uso de resultados sin valor de espacio de nombres y el uso de etiquetas de URL sin valor o acción”, explicó Cisco.

“En los casos en que las acciones o configuraciones superiores tampoco tienen espacio de nombre o un espacio de nombres comodín, un atacante podría aprovechar esta vulnerabilidad enviando una solicitud que envíe datos maliciosos a la aplicación afectada para su procesamiento”.

Un atacante remoto no autenticado puede desencadenar la vulnerabilidad engañando a las víctimas para que visiten una URL especialmente diseñada en el servidor web afectado, lo que permite al atacante ejecutar código malicioso y, finalmente, tomar el control completo del servidor objetivo que ejecuta la aplicación vulnerable.

Todas las aplicaciones que utilizan versiones compatibles con Apache Struts (Struts 2.3 a Struts 2.3.34 y Struts 2.5 a Struts 2.5.16) e incluso algunas versiones de Apache Struts no compatibles son potencialmente vulnerables a este defecto, incluso cuando no se han habilitado complementos adicionales.

Apache Struts corrigió la vulnerabilidad con el lanzamiento de las versiones 2.3.55 y 2.5.17 de Struts el mes pasado. Ahora, Cisco también ha lanzado correcciones para abordar el problema en sus diversos productos. Puede consultar la lista de productos vulnerables de Cisco aquí.

Como no hay soluciones para este problema, se recomienda encarecidamente a las organizaciones y desarrolladores que actualicen sus componentes de Struts lo antes posible.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris