Bilgisayar korsanları, halka açık bir şekilde kullanılabilir durum kanıtına dayanan saldırılarda, uzaktan kod yürütülmesine yol açan Apache desteklerinde yakın zamanda sabit bir kritik güvenlik açığından (CVE-2023-50164) yararlanmaya çalışıyor.
Araştırmacılar, sömürü girişimlerinde bulunan az sayıda IP adresi gözlemleyen Shadowserver tarama platformuna göre, tehdit aktörlerinin yeni başladığı anlaşılıyor.
Apache Struts, form tabanlı bir arayüz ve kapsamlı entegrasyon özellikleri sunan Java EE web uygulamalarının geliştirilmesini kolaylaştırmak için tasarlanmış açık kaynaklı bir web uygulama çerçevesidir.
Ürün, devlet kuruluşları da dahil olmak üzere hem özel hem de kamu sektörlerindeki çeşitli endüstrilerde, ölçeklenebilir, güvenilir ve kolayca korunabilen web uygulamaları oluşturmada verimliliği için yaygın olarak kullanılmaktadır.
7 Aralık'ta Apache, şu anda CVE-2023-50164 olarak tanımlanan kritik bir ciddiyet kırılganlığına yönelik Struts sürümleri 6.3.0.2 ve 2.5.33 yayınladı.
Güvenlik sorunu, belirli koşullar yerine getirilirse sömürülebilen bir yol geçirme kusurudur. Bir saldırganın kötü amaçlı dosyalar yüklemesine ve hedef sunucuda Uzaktan Kod Yürütme (RCE) elde etmesine izin verebilir. Böyle bir güvenlik açığından yararlanan bir tehdit oyuncusu hassas dosyaları değiştirebilir, verileri çalabilir, kritik hizmetleri bozabilir veya ağda yanal olarak hareket edebilir.
Bu, web sunucularına yetkisiz erişime, hassas verilerin manipülasyonuna veya hırsızlığına, kritik hizmetlerin bozulmasına ve ihlal edilen ağlarda yanal harekete yol açabilir.
RCE güvenlik açığı, 2.0.0 ila 2.3.37 (yaşam sonu), 2.5.0 ila 2.5.32 dikme ve 6.0.0 arasında 6.3.0'a kadar Struts sürümlerini etkiler.
10 Aralık'ta bir güvenlik araştırmacısı, CVE-2023-50164 için bir tehdit aktörünün dosya yükleme parametrelerini saldırılarda nasıl kirletebileceğini açıklayan teknik bir yazı yayınladı. Kusur için istismar kodu içeren ikinci bir yazı dün yayınlandı.
Dün bir güvenlik danışmanında Cisco, Apache dikenli ürünlerinden hangisinin etkilenebileceğini ve ne ölçüde etkilenebileceğini belirlemek için CVE-2023-50164'ü araştırdığını söylüyor.
Analiz altındaki Cisco ürünleri kümesi, müşteri işbirliği platformu, Identity Services Engine (ISE), Nexus gösterge paneli kumaş denetleyicisi (NDFC), Birleşik İletişim Yöneticisi (Unified CM), Birleşik İletişim Merkezi Enterprise (Unified CCE) ve Prime altyapısını içerir.
Potansiyel olarak etkilenen ürünlerin tam bir listesi, Cisco'nun yeni bilgilerle güncellenmesi beklenen güvenlik bülteninde mevcuttur.
Sophos Backports RCE Desteklenmemiş Güvenlik Duvarlarına Saldırılardan Sonra Fix
Hellokitty fidye yazılımı artık saldırılarda apache ActiveMq kusurunu kullanıyor
WordPress, Web sitelerini açığa çıkaran pop zincirini RCE saldırılarına düzeltiyor
Atlassian yamaları Kritik RCE kusurları birden çok ürün boyunca
Aralık Android Güncellemeleri Kritik sıfır-tıklatma RCE kusurunu düzeltin
Kaynak: Bleeping Computer