Datum der Offenlegung (Quelle): Dezember 11, 2024
Datum der Meldung als aktiv ausgenutzt (Quelle): Dezember 17, 2024
CVE-2024-53677 erlaubt Angreifern die Ausführung von beliebigem Code auf betroffenen Servern, auf denen das Apache Struts Web-Framework läuft. Diese Schwachstelle ist auf eine unsachgemäße Eingabevalidierung zurückzuführen, die es böswilligen Akteuren ermöglicht, Remotecode auszuführen und möglicherweise die vollständige Kontrolle über die betroffenen Systeme zu übernehmen.
A öffentliche Schwachstelle für dieses CVE ist jetzt verfügbar, und mehrere bösartige Hosts wurden beobachtet, die es in GreyNoise in den letzten paar Tagen beobachtet. Unternehmen, die Apache Struts verwenden, wird dringend empfohlen, die neuesten Sicherheits-Patches zu installieren und ihre Überwachungsmaßnahmen zu verbessern, um sich vor laufenden Ausnutzungsversuchen zu schützen.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-53677 - CVSS 9.5 (kritisch) - zugewiesen von der Apache Software Foundation |
| Schwachstelle Beschreibung |
Ein Angreifer kann Datei-Upload-Parameter manipulieren, um die Pfadüberquerung zu ermöglichen. Unter bestimmten Umständen kann dies zum Hochladen einer bösartigen Datei führen, die zur Remotecodeausführung verwendet werden kann. |
| Datum der Offenlegung |
11. Dezember 2024 |
| Betroffene Vermögenswerte |
Apache Struts Datei-Upload-Mechanismus |
| Anfällige Software-Versionen |
- Struts 2.0.0 bis Struts 2.3.37 (EOL)
- Struts 2.5.0 bis Struts 2.5.33 (EOL)
- Struts 6.0.0 bis Struts 6.3.0.2
|
| PoC verfügbar? |
Ein PoC-Exploit ist öffentlich verfügbar auf GitHub. |
| Verwertungsstatus |
Ein Artikel von Bleeping Computer enthält Berichte über Ausbeutungsversuche, die offenbar öffentlich verfügbare Exploits verwenden. In diesem Artikel wird außerdem berichtet, dass die Ausnutzung nur von einer einzigen IP-Adresse aus beobachtet wurde, 169.150.226[.]162. Außerdem wurden mehrere Hosts beobachtet, die diese Sicherheitslücke in GreyNoise. |
| Patch-Status |
Apache hat empfohlen. Kunden, auf Struts 6.5.0 oder höher zu aktualisieren und Action File Upload Interceptor zu verwenden. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 13,539 exponierte Webanwendungen, die das Apache Struts-Framework nutzen. Ein großer Teil dieser Anwendungen (69%) sind in den Vereinigten Staaten angesiedelt. Es ist zu beachten, dass nicht alle beobachteten Instanzen verwundbar sind, da wir keine spezifischen Versionen zur Verfügung haben.
Apache Struts ist schwer zu identifizieren, da es tief in Webanwendungen integriert ist und keine eindeutigen Signaturen aufweist, so dass es mit den üblichen Identifizierungsmethoden schwer zu erkennen ist.
Karte der exponierten Instanzen, auf denen Apache Struts läuft:
Censys Search Abfrage:
services.software: (vendor="Apache" and product="Struts") and not labels: {honeypot, tarpit}
Censys ASM-Abfrage:
host.services.software.vendor="Apache" and host.services.software.product="Struts" and not host.labels: {honeypot, tarpit}
Beachten Sie, dass dieser Fingerabdruck erst kürzlich bereitgestellt wurde und es 24 Stunden dauern kann, bis sich die Ergebnisse vollständig verbreitet haben.
Die folgende Abfrage kann als starker Indikator für Apache Struts verwendet werden. Sie hat jedoch einen geringeren Zuverlässigkeitsgrad als die obige Abfrage und erfordert weitere Untersuchungen auf dem Host, um zu bestätigen, dass Struts verwendet wird:
services: ("index.action" and http.response.headers:(key="Set-Cookie" and value.headers:"JSESSIONID") and http.response.status_code=200)
Referenzen
