Apache Struts es un framework de código abierto muy utilizado por las compañías para crear distintas aplicaciones web basadas en Java y compatibles con REST, AJAX y JSON, sobre todo en grandes compañías, y es que se calcula que 65 de las 100 compañías más grandes de todo el mundo utilizan este framework en sus servidores, razón por las que, de la noche a la mañana, se han vuelto vulnerables debido a un grave fallo de seguridad recién detectado en él.
Hace algunas horas, un grupo de investigadores de seguridad ha dado a conocer una grave vulnerabilidad en este utilizado framework para la creación de aplicaciones web. Este fallo puede permitir a un atacante, a través de una sencilla conexión HTTP, ejecutar código de forma remota directamente en el servidor que está ejecutando la aplicación web creada con Apache Struts.
Este grave fallo de seguridad ha sido registrado como CVE-2017-9805 y se encuentra concretamente en el plugin Struts REST que, al no ser capaz de procesar correctamente algunas peticiones XML es capaz de procesar datos no verificados en el servidor en cuestión. Cuando los piratas informáticos consiguen ejecutar código en el servidor, estos consiguen tener el control absoluto del servidor, tras lo cual suelen optar por instalar software malicioso para poder conectarse de forma remota a él.
No es la primera vez que una vulnerabilidad en Apache Struts pone en peligro los servidores que alojan las aplicaciones creadas con este framework. Tal como os contamos a principios de año, una vulnerabilidad, además muy parecida a esta, ponía en peligro millones de servidores de todo el mundo debido a un fallo a la hora de procesar cierto tipo de contenido.
La última versión de Apache Struts soluciona este fallo de seguridad
Desde el lunes se encuentra disponible Apache Struts v2.5.13, la última versión de este framework que ha sido lanzada especialmente para corregir este grave fallo de seguridad. Los expertos que han descubierto esta vulnerabilidad tienen información técnica sobre ella y varios exploits y pruebas de concepto funcionales, aunque, por seguridad, de momento esta información no va a hacerse pública.
Aprovechando que, por el momento, no se han visto indicios de que piratas informáticos hayan podido aprovecharse de esta vulnerabilidad, ni que exista ningún exploit circulando por la red, es recomendable que todos aquellos desarrolladores que tengan proyectos vulnerables basados en este framework actualicen cuanto antes a la nueva versión para evitar posibles males mayores.
No es la primera vez que un fallo así pone en peligro la web. Este tipo de fallo, conocido como “deserialize”, ya ha puesto en peligro otras 70 librerías desde 2015. Grandes compañías, como Apache, Oracle, Cisco, Red Hat, Jenkins, VMWare, IBM, Intel, Adobe, HP y SolarWinds tuvieron que actualizar sus aplicaciones web con urgencia y, además, varios ingenieros de Google trabajaron en su tiempo libre para ayudar a corregir los fallos en más de 2600 proyectos de código abierto que, al haber utilizado frameworks basados en Java afectados por este fallo, igualmente eran vulnerables.
Fuente:https://www.redeszone.net/2017/09/06/vulnerabilidad-rest-apache-struts/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
