{"id":94607,"date":"2018-11-19T02:35:49","date_gmt":"2018-11-19T10:35:49","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=94607"},"modified":"2018-11-19T02:38:11","modified_gmt":"2018-11-19T10:38:11","slug":"informe-sobre-amenazas-la-vulnerabilidad-critica-de-apache-struts-cve-2018-11776","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/11\/informe-sobre-amenazas-la-vulnerabilidad-critica-de-apache-struts-cve-2018-11776\/?lang=es","title":{"rendered":"Informe sobre amenazas: La Vulnerabilidad cr\u00edtica de Apache Struts CVE-2018-11776"},"content":{"rendered":"

Situaci\u00f3n general<\/strong><\/p>\n

El 22 de agosto de 2018, la Fundaci\u00f3n Apache\u00a0lanz\u00f3<\/a><\/u>\u00a0una actualizaci\u00f3n de seguridad cr\u00edtica para\u00a0CVE-2018-1176<\/a><\/u>, una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo que afectaba a las versiones de Apache Struts desde la 2.3 hasta la 2.3.34 y desde la 2.5 hasta la 2.5.16. La Fundaci\u00f3n Apache ha urgido a instalar esta actualizaci\u00f3n lo antes posible.<\/p>\n

En este art\u00edculo, facilitamos informaci\u00f3n para ayudar a las organizaciones a sopesar el riesgo que representa la vulnerabilidad y para dar a conocer a los clientes de Palo Alto Networks los sistemas de protecci\u00f3n ya existentes que ayudan a reducir el riesgo hasta que puedan instalar las actualizaciones de seguridad. Los clientes de Palo Alto Networks que hayan implementado las firmas de vulnerabilidad m\u00e1s recientes, publicadas el 24 de agosto de 2018, est\u00e1n protegidos.<\/p>\n

 <\/p>\n

Informaci\u00f3n sobre la vulnerabilidad<\/strong><\/p>\n

Seg\u00fan la Fundaci\u00f3n Apache y el investigador experto en seguridad\u00a0Man Yue Mo<\/a><\/u>, en los servidores con una versi\u00f3n vulnerable de Apache Struts existe el riesgo de que se ejecute c\u00f3digo de forma remota. Para atacar, se podr\u00eda enviar al sistema vulnerable una URL creada con fines maliciosos. En la mayor\u00eda de los casos, esto significa que no se necesita autenticaci\u00f3n alguna para aprovechar la vulnerabilidad.<\/p>\n

Si el ataque logra su objetivo, el c\u00f3digo se ejecutar\u00e1 en el contexto de seguridad utilizado por Struts, lo que podr\u00eda llevar a comprometer todo el sistema.<\/p>\n

En cualquier caso, hay que se\u00f1alar que la vulnerabilidad no se puede aprovechar en las configuraciones predeterminadas, sino que se deben cumplir las dos condiciones siguientes para que un sistema quede expuesto a los ataques:<\/p>\n

En la configuraci\u00f3n de Struts, se ha asignado el valor \u201cTrue\u201d (Verdadero) a la marca\u00a0alwaysSelectFullNamespace<\/a><\/u>. Nota: Si su aplicaci\u00f3n utiliza el complemento Struts Convention<\/a><\/u>,\u00a0cuyo uso est\u00e1 muy extendido, este habr\u00e1 seleccionado \u201cTrue\u201d en dicha marca de forma predeterminada.<\/p>\n

La aplicaci\u00f3n Struts utiliza \u201cacciones\u201d que se configuran sin especificar un espacio de nombre, o bien con un espacio de nombre comod\u00edn. Esta condici\u00f3n es v\u00e1lida para las acciones y los espacios de nombre especificados en el archivo de configuraci\u00f3n de Struts. NOTA: Si su aplicaci\u00f3n utiliza el conocido complemento Struts Convention, esta condici\u00f3n tambi\u00e9n afecta a las acciones y los espacios de nombre especificados en el c\u00f3digo Java.<\/p>\n

Si su aplicaci\u00f3n Struts no cumple estas dos condiciones, es posible que sea vulnerable pero que (por el momento) no se pueda atacar mediante la vulnerabilidad CVE-2018-11776.<\/p>\n

En particular, si su aplicaci\u00f3n utiliza el famoso complemento Struts Convention, al parecer podr\u00eda aumentar el riesgo de explotabilidad con respecto a otras implementaciones de Struts que no lo utilicen.<\/p>\n

 <\/p>\n

Informaci\u00f3n sobre el entorno de la amenaza<\/strong><\/p>\n

La vulnerabilidad se revel\u00f3 el 22 de agosto, junto con las actualizaciones de seguridad creadas para solucionarla. Existe informaci\u00f3n detallada sobre la vulnerabilidad y sobre c\u00f3mo aprovecharla. Tambi\u00e9n hay c\u00f3digo POC (Proof of Concept) ya disponible, aunque este solo funciona contra los sistemas que cumplan las dos condiciones de explotabilidad expuestas anteriormente.<\/p>\n

Se ha observado que el a\u00f1o pasado se atac\u00f3 una vulnerabilidad cr\u00edtica de Struts solo tres d\u00edas despu\u00e9s de que saliera a la luz la informaci\u00f3n sobre ella y se publicara la actualizaci\u00f3n de seguridad correspondiente.<\/p>\n

Esta vez no se han detectado ataques activos y la situaci\u00f3n es diferente, pues para que se pueda aprovechar la vulnerabilidad se tienen que cumplir dos condiciones que no se dan en la configuraci\u00f3n predeterminada.<\/p>\n

De todas formas, teniendo en cuenta que ya hay POC activo disponible, es previsible que como m\u00ednimo se sondee la vulnerabilidad o incluso se llegue a aprovechar de forma activa a corto plazo.<\/p>\n

Al evaluar los riesgos, las organizaciones deber\u00edan tener en cuenta la posibilidad de un ataque hasta que resuelvan cuatro cuestiones:<\/p>\n