{"id":94597,"date":"2018-11-19T02:04:42","date_gmt":"2018-11-19T10:04:42","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=94597"},"modified":"2018-11-19T02:04:42","modified_gmt":"2018-11-19T10:04:42","slug":"report-sulle-minacce-informazioni-sulla-vulnerabilita-critica-di-apache-struts-cve-2018-11776","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/11\/report-sulle-minacce-informazioni-sulla-vulnerabilita-critica-di-apache-struts-cve-2018-11776\/?lang=it","title":{"rendered":"REPORT SULLE MINACCE: INFORMAZIONI SULLA VULNERABILIT\u00c0 CRITICA DI APACHE STRUTS CVE-2018-11776"},"content":{"rendered":"

Scenario<\/strong><\/p>\n

Il 22 agosto 2018, l'Apache Foundation ha rilasciato<\/a><\/u> un aggiornamento critico di sicurezza per CVE-2018-1176<\/a><\/u>, una vulnerabilit\u00e0 di esecuzione di codice remoto presente nelle versioni dalla 2.3 alla 2.3.34 e dalla 2.5 alla 2.5.16. L'Apache Foundation ha raccomandato a tutti di effettuare l'aggiornamento di sicurezza il prima possibile.<\/p>\n

Scopo di questo articolo \u00e8 aiutare le aziende a valutare il rischio relativo a tale vulnerabilit\u00e0 e informare i clienti di Palo Alto Networks delle protezioni adottate per mitigare tale rischio, fino a quando non saranno applicati gli aggiornamenti di sicurezza. I clienti di Palo Alto Networks che utilizzano le pi\u00f9 recenti firme di vulnerabilit\u00e0 rilasciate il 24 agosto 2018 sono protetti.<\/p>\n

 <\/p>\n

Informazioni sulla vulnerabilit\u00e0<\/strong><\/p>\n

Secondo l'Apache Foundation e il ricercatore di sicurezza Man Yue Mo<\/a><\/u>, questa vulnerabilit\u00e0 consente l'esecuzione di codice remoto su un server che esegue una versione vulnerabile di Apache Struts. Il metodo di attacco si basa sull'invio a un sistema vulnerabile di una specifica URL appositamente creata. Nella maggioranza dei casi, ci\u00f2 significa che non occorre alcuna autenticazione per sferrare un attacco su tale vulnerabilit\u00e0.<\/p>\n

Se l'attacco va a segno, esegue codice nel contesto di sicurezza utilizzato da Struts. In alcuni casi, l'esito potrebbe essere la totale compromissione del sistema.<\/p>\n

Occorre sottolineare, tuttavia, che non \u00e8 possibile sfruttare la vulnerabilit\u00e0 nelle configurazioni predefinite. Perch\u00e9 il sistema sia vulnerabile all'attacco, devono essere soddisfatte le seguenti due condizioni:<\/p>\n

L'opzione alwaysSelectFullNamespace<\/a><\/u> deve essere impostata su \"true\" nella configurazione di Struts. (Nota: se l'applicazione utilizza il popolare plugin Struts Convention<\/a><\/u>, \"true\" \u00e8 il valore predefinito impostato dal plugin per questa opzione.)<\/p>\n

L'applicazione Struts utilizza \"azioni\" che sono configurate con un namespace non specificato o dotato di wildcard. La condizione riguarda azioni e namespace specificati nel file di configurazione di Struts. Nota: se l'applicazione utilizza il popolare plugin Struts Convention, la condizione si applica anche ad azioni e namespace specificati nel codice Java.<\/p>\n

Se l'applicazione Struts non soddisfa entrambe le condizioni, potrebbe risultare ancora vulnerabile ma non soggetta (per il momento) all'exploit sulla CVE-2018-11776.<\/p>\n

In particolare, se l'applicazione utilizza il popolare plugin Struts Convention, il rischio derivante da un attacco \u00e8 superiore rispetto a quello di altre implementazioni di Struts che non usano il plugin.<\/p>\n

 <\/p>\n

Informazioni sull'ambiente della minaccia<\/strong><\/p>\n

La vulnerabilit\u00e0 \u00e8 stata resa pubblica il 22 agosto insieme al rilascio degli aggiornamenti di sicurezza che la risolvono. Esistono informazioni dettagliate sulla vulnerabilit\u00e0 e sugli exploit conosciuti fino ad ora. \u00c8 inoltre gi\u00e0 disponibile un codice a scopo dimostrativo (PoC). Come detto, il codice PoC funziona solo su sistemi vulnerabili e che soddisfano entrambe le condizioni menzionate.<\/p>\n

Alcuni hanno segnalato che una precedente vulnerabilit\u00e0 critica di Struts era stata attaccata attivamente l'anno scorso solo tre giorni dopo il rilascio dell'aggiornamento di sicurezza e delle informazioni sulla vulnerabilit\u00e0.<\/p>\n

Non si riscontrano al momento attacchi attivi e il requisito che due condizioni non ordinarie debbano essere soddisfatte per permettere il successo dell'attacco rende l'ambiente sfavorevole alla minaccia.<\/p>\n

Tuttavia, data la disponibilit\u00e0 del codice PoC, ci si pu\u00f2 attendere che la vulnerabilit\u00e0 sia per lo meno sondata, se non attivamente sfruttata, in tempi brevi.<\/p>\n

Prima dell'applicazione della patch, le organizzazioni devono basare la valutazione del rischio di un possibile attacco su quattro elementi:<\/p>\n