Kritiek lek in Apache Struts 2 maakt remote code execution mogelijk
Een kritieke kwetsbaarheid in Apache Struts 2 maakt remote code execution mogelijk en overheidsinstanties roepen beheerders en organisaties op om de beschikbaar gestelde beveiligingsupdate te installeren. Kwetsbaarheden in Apache Struts zijn in het verleden vaker gebruikt bij aanvallen. Struts is een zeer populair opensourceframework voor het ontwikkelen van Java-webapplicaties en websites.
Via het kritieke beveiligingslek, aangeduid als CVE-2024-53677, kan een remote aanvaller parameters voor het uploaden van bestanden aanpassen, waardoor path traversal en in sommige gevallen het uploaden van malafide bestanden mogelijk is, wat kan leiden tot remote code execution. Het probleem is verholpen in Struts 6.4.0. Onder de kwetsbare versies bevinden zich ook Struts 2.0.0 - Struts 2.3.37, die end-of-life zijn en niet meer worden ondersteund. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.5.
De Australische overheid heeft vandaag een waarschuwing voor de kwetsbaarheid gegeven. Ook de Belgische overheid kwam met een beveiligingsbulletin. "Deze kwetsbaarheid is met name zorgwekkend, omdat het op afstand zonder gebruikersinteractie is te misbruiken. Organisaties die van kwetsbare Struts 2-versies gebruikmaken moeten dringend dit risico beoordelen en verhelpen om mogelijke verstoringen te voorkomen", zo stelt het Centrum voor Cybersecurity België (CCB).
In 2017 wisten aanvallers via een kritieke Struts-kwetsbaarheid de gegevens van meer dan 147 miljoen Amerikanen bij het Amerikaanse kredietbureau Equifax te stelen. Vorig jaar december werd er actief misbruik gemaakt van een andere kwetsbaarheid (CVE-2023-50164). Net zoals het nu verholpen beveiligingslek maakt ook CVE-2023-50164 het mogelijk voor aanvallers om parameters voor het uploaden van bestanden aan te passen, waardoor path traversal en het uploaden van malafide bestanden mogelijk wordt, wat weer kan leiden tot remote code execution.
Regressie testen zijn wel degelijk een reden om het niet direct te doen. Je wilt niet P onderuit trekken door een te snelle patch.
Vorig jaar CVE-2023-50164 een 9.8
Wat voor een gatenkaas is dit precies?
Gelukkig is het OpenSource en kon iedereen deze fout vinden, en draai ik gelukkig een professioneel besturingssysteem, want dit lost altijd magisch al mijn problemen op. Toch?
Maar iedereen met goede IT kennis, weet dat het bovenstaande regel is..... Het ligt niet direct aan een OS ligt, maar vaak aan inrichting en beheerders. Dit is een mooi voorbeeld.
Veel gebruikt is altijd interessant voor hackers, Internet facing.
Blijkbaar weinig ervaring in het bedrijfsleven?
Ik weet niet of je je huiswerk al af hebt maar in de grote mensen wereld werkt het toch echt iets anders.
Ik weet niet of je je huiswerk al af hebt maar in de grote mensen wereld werkt het toch echt iets anders.
Gewoon de update pushen, en de kans op deze specifieke exploit is weg, wel kunnen er daarentegen bugs ontstaan in de desbetreffende software, maar de schade daarvan is beduidend kleiner dan die van een inbraak.
Veel bedrijven hebben veel geheimen en patenten die ze moeten beschermen.
Ik weet niet of je je huiswerk al af hebt maar in de grote mensen wereld werkt het toch echt iets anders.
Gewoon de update pushen, en de kans op deze specifieke exploit is weg, wel kunnen er daarentegen bugs ontstaan in de desbetreffende software, maar de schade daarvan is beduidend kleiner dan die van een inbraak.
Veel bedrijven hebben veel geheimen en patenten die ze moeten beschermen.
Via een Change proces hierna het via OTA straat het naar productie brengen.
Eventueel je WAF eerst gebruiken?
Blijkbaar weinig ervaring in het bedrijfsleven?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?