Apache, son derece popüler olan Struts projesinde daha önce çözüldüğüne inanılan, ancak ortaya çıktığı gibi tam olarak giderilmemiş olan kritik bir güvenlik açığını düzeltti.
Bu nedenle, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kullanıcıları ve yöneticileri en yeni, yamalı Struts 2 sürümlerine yükseltmeye çağırıyor.
Struts, Java web geliştiricileri tarafından model-görünüm-denetleyici (MVC) uygulamaları oluşturmak için kullanılan açık kaynaklı bir uygulama geliştirme çerçevesidir.
Uzaktan Kod Yürütme (RCE) hatası tam olarak çözülmedi
Bu hafta DH CISA ısrar ediyor kuruluşlar, kritik bir OGNL Enjeksiyon güvenlik açığını gideren Struts2 sürüm 2.5.30’a (veya üstü) yükseltme yapacaktır.
CVE-2021-31805 olarak izlenen kritik güvenlik açığı, Struts 2’nin 2.0.0’dan 2.5.29’a kadar olan sürümlerinde bulunmaktadır.
Güvenlik açığı, aşağıdakiler için uygulanan tamamlanmamış bir düzeltmeden kaynaklanır: CVE-2020-17530ayrıca önem derecesi 9.8 (Kritik) olan bir OGNL Enjeksiyon hatası.
Object-Graph Navigation Language (OGNL), Java dilinde kullanılan ifade aralığını basitleştiren, Java için açık kaynaklı bir İfade Dilidir (EL). OGNL ayrıca geliştiricilerin dizilerle daha kolay çalışmasını sağlar. Ancak, güvenilmeyen veya ham kullanıcı girdisine dayalı olarak OGNL ifadelerini ayrıştırmak, güvenlik açısından sorunlu olabilir.
2020’de GitHub’dan Alvaro Munoz ve Aeye Security Lab’den Masato Anzai, belirli koşullar altında Struts2’nin 2.0.0 – 2.5.25 sürümlerinde bir “çifte değerlendirme” hatası bildirmişti.
CVE-2020-17530 için “Bir geliştirici %{…} sözdizimini kullanarak zorunlu OGNL değerlendirmesi uygularsa, etiketin özelliklerinden bazıları çift değerlendirme yapabilir” diyor.
“Güvenilmeyen kullanıcı girişinde zorunlu OGNL değerlendirmesi kullanmak, Uzaktan Kod Yürütmesine ve güvenlik bozulmasına neden olabilir.”
Apache, 2020 hatasını Struts 2.5.26’da çözmüş olsa da, araştırmacı Chris McCown daha sonra uygulanan düzeltmenin eksik olduğunu keşfetti.
Bu nedenle, McCown sorumlu bir şekilde Apache’ye “çifte değerlendirme” sorununun Struts 2.5.26 ve üzeri sürümlerde yeniden üretilebileceğini ve bunun sonucunda CVE-2021-31805’in atanabileceğini bildirdi.
Kullanıcıların yükseltme yapmaları önerilir Destekler 2.5.30 veya daha fazlası ve etiketin özniteliklerinde güvenilmeyen kullanıcı girdisine dayalı zorunlu OGNL değerlendirmesi kullanmaktan kaçınmak için.
Ek olarak, Apache aşağıdakileri tavsiye eder: güvenlik rehberi en iyi uygulamalar için.
2017’nin Equifax hack’i OGNL enjeksiyonundan kaynaklandı
gibi yüksek profilli güvenlik açıklarına sahip Java bileşenleriyle dolu bir yıl oldu. Log4Shell ve Spring4Shell siber güvenlik alanına hakim.
Şimdi Struts’taki bu iki yıllık kritik kusurun yeniden canlanmasıyla birlikte, güvenlik uzmanları ve kuruluşların web sunucusu ortamlarını yakından incelemesi gerekebilir.
Struts çerçevesinin bir geçmişi vardır. kritik güvenlik açıklarıözellikle güvenli olmayan OGNL kullanımından kaynaklanan uzaktan kod yürütme kusurları.
Başka bir Struts 2 OGNL Enjeksiyon hatası (CVE-2017-5638) daha önce vahşi doğada sömürülen fidye yazılımı grupları da dahil olmak üzere tehdit aktörleri tarafından.
Tüketici kredisi raporlama devi Equifax daha sonra, şirkette 2017 hack o zamanlar sıfır gün olan CVE-2017-5638’in sömürülmesinden kaynaklandı.
Equifax veri ihlali, 143 milyon kullanıcının verileri bilgisayar korsanları isimleri, Sosyal Güvenlik Numaralarını (SSN), doğum tarihlerini, adresleri ve bazı durumlarda insanların ehliyet numaralarını çaldığı için.
Tehdit aktörleri tarafından yaklaşık 209.000 Amerikalı kullanıcının kredi kartı numaralarına da erişildi. Etkilenen kişilerin tam sayısını açıklamadan Equifax, ihlalin İngiliz ve Kanada sakinlerini de bir ölçüde etkilediğini doğruladı.