Uma vulnerabilidade crítica no Apache Struts 2, identificada como CVE-2024-53677, está sendo ativamente explorada por meio de códigos de prova de conceito públicos para identificar dispositivos vulneráveis.
O Apache Struts é um framework de código aberto usado para desenvolver aplicações web baseadas em Java e é amplamente utilizado por agências governamentais, plataformas de e-commerce, instituições financeiras e companhias aéreas.
A falha CVE-2024-53677 (pontuação CVSS 4.0: 9.5, classificada como crítica) foi divulgada publicamente há seis dias. Ela afeta a lógica de upload de arquivos no software, permitindo traversal de diretórios e o upload de arquivos maliciosos, o que pode levar à execução remota de código.
As versões impactadas são:
Struts 2.0.0 até 2.3.37 (fim de vida);
Struts 2.5.0 até 2.5.33;
Struts 6.0.0 até 6.3.0.2.
De acordo com o boletim de segurança da Apache:
“Um invasor pode manipular os parâmetros de upload de arquivos para habilitar a traversal de diretórios e, em algumas circunstâncias, fazer upload de um arquivo malicioso, que pode ser utilizado para executar comandos remotamente.”
Na prática, essa vulnerabilidade permite que atacantes enviem arquivos perigosos, como web shells, em diretórios restritos, o que possibilita a execução de comandos, download de payloads adicionais e roubo de dados.
A vulnerabilidade é semelhante à CVE-2023-50164, levando a especulações de que a falha tenha ressurgido devido a uma correção incompleta, um problema que já ocorreu anteriormente no projeto.
O pesquisador Johannes Ullrich do ISC SANS relata que já foram detectadas tentativas de exploração ativa com base em códigos de prova de conceito (PoC) disponíveis publicamente.
“Estamos vendo tentativas de exploração que correspondem ao código PoC. Até agora, os ataques têm como objetivo enumerar sistemas vulneráveis”, afirmou Ullrich.
Os invasores estão verificando sistemas vulneráveis ao fazer upload de um arquivo chamado “exploit.jsp”, contendo um código simples que imprime a string “Apache Struts”. Caso o upload tenha sucesso, os atacantes acessam o script para confirmar que o servidor foi comprometido.
A exploração foi detectada a partir de um único endereço IP (169.150.226.162).
Para mitigar os riscos, a Apache recomenda:
Atualizar para o Struts 6.4.0 ou versões superiores;
Migrar para o novo mecanismo de upload de arquivos Action File Upload.
Importante: apenas aplicar o patch não é suficiente, pois o código de upload de arquivos nas aplicações Struts deve ser reescrito para implementar o novo mecanismo.
“Manter o mecanismo antigo de upload deixa você vulnerável a esse ataque,” alerta a Apache.
Com a exploração ativa em andamento, agências nacionais de cibersegurança no Canadá, Austrália e Bélgica emitiram alertas públicos, pedindo que desenvolvedores de software tomem ações imediatas.
No ano passado, hackers exploraram vulnerabilidades semelhantes no Struts para obter execução remota de código em servidores desprotegidos.
Via - BC
Comments