У фреймворку Apache Struts знайдена уразливість, яка дозволяє виконати довільний код на сервері, де працює веб-додаток, створене за допомогою цього фреймворка. Apache Struts використовується в 65% найбільших світових компаній зі списку Fortune 100, особливо він популярний у авіаліній та фінансових організацій.

Уразливість в Apache Struts.

Дослідники кібербезпеки із товариства LGTM виявили критичну вразливість в Apache Struts - популярній платформі з відкритим вихідним кодом для розробки веб-додатків на мові Java. Уразливість присутня у всіх версіях Struts з 2008 р. Помічено вона була в версії 2. 13. Баг зачіпає веб-додатки, створені за допомогою Apache Struts і використовують плагін REST. Уразливість отримала назву CVE 2017-9805. Команда розробників Apache Struts підтвердила серйозність проблеми і вже випустила патч.

Знайдена уразливість дозволяє зловмисникові віддалено виконати довільний код на будь-якому сервері, де запущено додаток, побудоване з використанням Apache Struts і плагіна REST. Проблема полягає в тому, що Apache Struts некоректно десеріалізует недовірених дані. В ході атаки хакер може зібрати дані на сервері і відправити їх, куди забажає. Також сервер можна використовувати як точку доступу до інших ділянок тієї ж мережі, причому корпоративні фаєрволи не зможуть їх захистити.

За словами дослідника Ман Юе Мо (Man Yue Mo), що виявив баг, використовувати його гранично просто - хакеру достатньо звичайного веб-браузера. Команда LGTM повідомляє, що у них є простий робітник експлойт для цієї уразливості, які вони поки не публікують.

Зона ураження.

Дослідник Фінтан Райан (Fintan Ryan) з аналітичної фірми RedMonk стверджує, що як мінімум 65% найбільших компаній, що входять в рейтинг Fortune 100, активно використовують програми, створені за допомогою Apache Struts. Точно відомо, що такі додатки є у авіабудівної компанії Lockheed Martin, фінансового конгломерату Citigroup, стільникового оператора Vodafone, авіакомпанії Virgin Atlantic, популярного американського журналу Reader's Digest, постачальника товарів для офісу Office Depot, телеканалу Showtime і навіть у Податкового управління США.

За словами Ман Ю Мо, додатки на основі Apache Struts особливо широко використовуються в сервісах покупки авіаквитків, а також у фінансових організаціях. Опитаний командою LGTM глава служби безпеки банку, що використовує стандарт Tier 1, підтвердив, що Apache Struts повсюдно використовується на сайтах і додатках, і що для вирішення проблеми недостатньо буде просто застосувати патч, доведеться міняти сам код. За його словами, наслідки використання цього бага можуть бути гірше, ніж у гучній уразливості Poodle, знайденої в протоколі SSL 3. 0 в 2014 р.

Що таке Apache Struts.

Apache Struts - це фреймворк з відкритим вихідним кодом, за допомогою якого пишуться веб-додатки на Java EE. Фреймворк базується на Java Servlet API і передбачає реалізацію паттерна MVC. Apache Struts був розроблений Крейгом МакКланаханом (Craig McClanahan), Apache Foundation отримала його в травні 2000 р. Спочатку розвивався в рамках Apache Jakarta Project і називався Jakarta Struts. У 2005 р.

став проектом Apache верхнього рівня.

Struts був створений з метою відокремити модель, тобто логіку додатка, яка взаємодіє з базою даних, від уявлення HTML-сторінки і від контролера, який передає дані між поданням і моделлю.

У Apache Struts є відгалуження - фреймворк WebWork такий же архітектури, але з низкою вдосконалень. У грудні 2005 р. було оголошено, що Struts знову об'єднається з WebWork. WebWork 2. 2 був позначений як Apache Struts 2, випущений в лютому 2007 р.