Krytyczna luka w Apache Struts 2

28 sierpnia 2018 r.

Według W3Techs blisko 46% wszystkich stron internetowych bazuje na serwerach Apache. Środowisko Struts 2, które umożliwia tworzenie aplikacji internetowych w języku Java, działa w oparciu o właśnie o serwery Apache. Teraz okazało się, że Struts ma lukę (CVE-2018-11776), która zagraża bezpieczeństwu danych zgromadzonych na serwerach z Apache.

Badacz bezpieczeństwa z firmy Semmle, Man Yue Mo, który odkrył lukę CVE-2018-11776, twierdzi, że napastnicy mogą ją wykorzystać do przejęcia pełnej kontroli nad stronami internetowymi i innymi aplikacjami, działającymi na serwerach z Apache. Radosław Serba z naszej firmy, rekomenduje załatanie wspomnianej dziury luki najszybciej jak to możliwe.

Atakującym wystarczy tylko przeglądarka internetowa i proste polecenie wysłane na serwer, żeby przejąć kontrolę nad daną aplikacją. Jeśli opiekun danego serwisu internetowego nie podejmie odpowiednich kroków i pozostawi lukę niezałataną, napastnicy mogą skorzystać z okazji i np. wykraść ze sklepu internetowego dane osobowe lub te dotyczące zamówień. Serwis W3Techs podaje, że z serwerów Apache korzystają największe strony internetowe jak apple.com, bbc.com, paypal.com, a w Polsce m.in. olx.pl.

Jak zadbać o bezpieczeństwo?

Radosław Serba wskazuje sposoby, aby wyeliminować zagrożenia związane z wykryciem luki CVE-2018-11776 (S2-057).

- Użytkownicy wersji Struts 2.3 powinni zainstalować wersję 2.3.35; użytkownicy Struts 2.5 powinni migrować do wersji 2.5.17.

Nie jest to pierwszy raz, gdy wykryto tak poważną lukę w oprogramowania Apache Struts. W 2017 roku wykryto równie poważne zagrożenie (CVE-2017-5638). Na negatywne skutki istnienia tej luki narażonych było wówczas m.in. 147 milionów klientów firmy Equafax z Ameryki, Kanady i Wielkiej Brytanii.