Fecha de divulgación (fuente): 11 de diciembre de 2024
Fecha en que se comunicó que había sido explotado activamente (fuente): 17 de diciembre de 2024
CVE-2024-53677 permite a los atacantes ejecutar código arbitrario en los servidores afectados que ejecutan el marco web Apache Struts. Este fallo se debe a una validación de entrada incorrecta, lo que permite a los actores maliciosos realizar la ejecución remota de código y, potencialmente, tomar el control total de los sistemas comprometidos.
A exploit público para este CVE, y se han observado múltiples hosts maliciosos que lo utilizan en GreyNoise en los últimos días. Se recomienda urgentemente a las organizaciones que utilizan Apache Struts que apliquen los últimos parches de seguridad y mejoren sus medidas de vigilancia para protegerse de los intentos de explotación en curso.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-53677 - CVSS 9.5 (crítico) - asignado por Apache Software Foundation |
| Descripción de la vulnerabilidad |
Un atacante puede manipular los parámetros de carga de archivos para habilitar el recorrido de rutas y, en algunas circunstancias, esto puede conducir a la carga de un archivo malicioso que se puede utilizar para realizar la ejecución remota de código. |
| Fecha de divulgación |
11 de diciembre de 2024 |
| Activos afectados |
Mecanismo de carga de archivos de Apache Struts |
| Versiones de software vulnerables |
- Struts 2.0.0 a Struts 2.3.37 (EOL)
- Struts 2.5.0 a Struts 2.5.33 (EOL)
- Struts 6.0.0 a Struts 6.3.0.2
|
| ¿PoC disponible? |
Un exploit PoC está disponible públicamente en GitHub. |
| Estado de explotación |
Un artículo de artículo de Bleeping Computer incluye informes de intentos de explotación que parecen utilizar exploits disponibles públicamente. Este artículo informa además de que la explotación sólo se ha observado desde una única dirección IP, 169.150.226[.]162. Además, se han observado múltiples hosts explotando esta vulnerabilidad en GreyNoise. |
| Estado del parche |
Apache ha aconsejado a los clientes de a los clientes que actualicen a Struts 6.5.0 o superior y utilicen Action File Upload Interceptor. |
Censys Perspectiva
En el momento de redactar este informe, Censys observaba 13,539 aplicaciones web expuestas que utilizan el framework Apache Struts. Una gran proporción de ellas (69%) están geolocalizadas en Estados Unidos. Tenga en cuenta que no todas las instancias observadas son vulnerables, ya que no disponemos de versiones específicas.
Apache Struts es difícil de identificar porque está profundamente integrado en las aplicaciones web y carece de firmas distintivas, lo que dificulta su detección mediante métodos de identificación estándar.
Mapa de instancias expuestas que ejecutan Apache Struts:
Censys Consulta de búsqueda:
services.software: (vendor="Apache" and product="Struts") and not labels: {honeypot, tarpit}
Censys Consulta ASM:
host.services.software.vendor="Apache" and host.services.software.product="Struts" and not host.labels: {honeypot, tarpit}
Tenga en cuenta que esta huella digital se ha desplegado recientemente y que los resultados pueden tardar 24 horas en propagarse por completo.
La siguiente consulta puede ser utilizada como un fuerte indicador de Apache Struts. Sin embargo, tiene un nivel de confianza más bajo que la consulta anterior y requiere más investigación en el host para confirmar que se está utilizando Struts:
services: ("index.action" and http.response.headers:(key="Set-Cookie" and value.headers:"JSESSIONID") and http.response.status_code=200)
Referencias
