Informe sobre amenazas: La Vulnerabilidad crítica de Apache Struts CVE-2018-11776

Nov 19, 2018
5 minutes
... views

This post is also available in: English (Inglés) 繁體中文 (Chino tradicional) Nederlands (Holandés) Deutsch (Alemán) Italiano 한국어 (Coreano) Türkçe (Turco)

Situación general

El 22 de agosto de 2018, la Fundación Apache lanzó una actualización de seguridad crítica para CVE-2018-1176, una vulnerabilidad de ejecución remota de código que afectaba a las versiones de Apache Struts desde la 2.3 hasta la 2.3.34 y desde la 2.5 hasta la 2.5.16. La Fundación Apache ha urgido a instalar esta actualización lo antes posible.

En este artículo, facilitamos información para ayudar a las organizaciones a sopesar el riesgo que representa la vulnerabilidad y para dar a conocer a los clientes de Palo Alto Networks los sistemas de protección ya existentes que ayudan a reducir el riesgo hasta que puedan instalar las actualizaciones de seguridad. Los clientes de Palo Alto Networks que hayan implementado las firmas de vulnerabilidad más recientes, publicadas el 24 de agosto de 2018, están protegidos.

 

Información sobre la vulnerabilidad

Según la Fundación Apache y el investigador experto en seguridad Man Yue Mo, en los servidores con una versión vulnerable de Apache Struts existe el riesgo de que se ejecute código de forma remota. Para atacar, se podría enviar al sistema vulnerable una URL creada con fines maliciosos. En la mayoría de los casos, esto significa que no se necesita autenticación alguna para aprovechar la vulnerabilidad.

Si el ataque logra su objetivo, el código se ejecutará en el contexto de seguridad utilizado por Struts, lo que podría llevar a comprometer todo el sistema.

En cualquier caso, hay que señalar que la vulnerabilidad no se puede aprovechar en las configuraciones predeterminadas, sino que se deben cumplir las dos condiciones siguientes para que un sistema quede expuesto a los ataques:

En la configuración de Struts, se ha asignado el valor “True” (Verdadero) a la marca alwaysSelectFullNamespace. Nota: Si su aplicación utiliza el complemento Struts Convention, cuyo uso está muy extendido, este habrá seleccionado “True” en dicha marca de forma predeterminada.

La aplicación Struts utiliza “acciones” que se configuran sin especificar un espacio de nombre, o bien con un espacio de nombre comodín. Esta condición es válida para las acciones y los espacios de nombre especificados en el archivo de configuración de Struts. NOTA: Si su aplicación utiliza el conocido complemento Struts Convention, esta condición también afecta a las acciones y los espacios de nombre especificados en el código Java.

Si su aplicación Struts no cumple estas dos condiciones, es posible que sea vulnerable pero que (por el momento) no se pueda atacar mediante la vulnerabilidad CVE-2018-11776.

En particular, si su aplicación utiliza el famoso complemento Struts Convention, al parecer podría aumentar el riesgo de explotabilidad con respecto a otras implementaciones de Struts que no lo utilicen.

 

Información sobre el entorno de la amenaza

La vulnerabilidad se reveló el 22 de agosto, junto con las actualizaciones de seguridad creadas para solucionarla. Existe información detallada sobre la vulnerabilidad y sobre cómo aprovecharla. También hay código POC (Proof of Concept) ya disponible, aunque este solo funciona contra los sistemas que cumplan las dos condiciones de explotabilidad expuestas anteriormente.

Se ha observado que el año pasado se atacó una vulnerabilidad crítica de Struts solo tres días después de que saliera a la luz la información sobre ella y se publicara la actualización de seguridad correspondiente.

Esta vez no se han detectado ataques activos y la situación es diferente, pues para que se pueda aprovechar la vulnerabilidad se tienen que cumplir dos condiciones que no se dan en la configuración predeterminada.

De todas formas, teniendo en cuenta que ya hay POC activo disponible, es previsible que como mínimo se sondee la vulnerabilidad o incluso se llegue a aprovechar de forma activa a corto plazo.

Al evaluar los riesgos, las organizaciones deberían tener en cuenta la posibilidad de un ataque hasta que resuelvan cuatro cuestiones:

  • ¿Utilizan el complemento Struts Convention?
  • ¿Cumplen las dos condiciones necesarias para que se pueda aprovechar la vulnerabilidad?
  • ¿Alguna herramienta se ha usado como arma o hay indicios de ataques con el POC actual?
  • ¿Se han desarrollado nuevos POC o ataques que no necesiten que se cumplan las dos condiciones mencionadas?

 

Orientaciones y medidas de seguridad para los clientes de Palo Alto Networks

Todas las organizaciones que usen versiones vulnerables de Apache Struts deberían implementar las actualizaciones de seguridad lo antes posible.

Asimismo, se debería priorizar la programación e implementación de las actualizaciones de seguridad según la política de seguridad y la evaluación de riesgos de cada organización, además de la información disponible en cada momento.

Los clientes de Palo Alto Networks que hayan implementado las firmas de vulnerabilidad contenidas en la versión 8057, lanzada el 24 de agosto de 2018 (con el número de identificación 33948 y el nombre “Apache Struts 2 Remote Code Execution Vulnerability”) están a salvo de los exploits conocidos actualmente que son capaces de aprovechar esta vulnerabilidad.

Nuestros clientes deberían implementar la actualización de seguridad tal como se recomendaba anteriormente, pero también conviene implementar las firmas de vulnerabilidad más recientes de inmediato para mejorar la protección. Y siempre deberían incluir esta protección adicional a la hora de tomar decisiones sobre seguridad e implementaciones de actualizaciones de seguridad, así como al evaluar los riesgos que supone el entorno de amenazas y vulnerabilidades existente.

Como de costumbre, estamos supervisando atentamente la situación y facilitaremos información más detallada conforme esté disponible.


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.