Datum 2018-08-24
CVE: CVE-2018-11776

En kritisk sårbarhet har upptäckts i Apache Struts 2, som möjliggör fjärrexekvering av kod (s k Remote Code Execution, RCE). Apache Struts är ett populärt ramverk för utveckling av webbapplikationer. Struts har tidigare nyttjats i attacker och vi förväntar oss att angripare aktivt kommer söka av och försöka hitta sårbara webapplikationer, och enligt källor så finns tillgänglig ”proof of concept” kod som möjliggör snabbt nyttjande av sårbarheten.

Påverkade versioner:
Struts 2.3 – Struts 2.3.34
Struts 2.5 – 2.5.16

Rekommendation:
uppgradera till Struts 2.3.35 och 2.5.17

För att en applikation ska vara sårbar måste alwaysSelectFullNamespace flaggan vara satt till true i Struts konfigurationen, samt att applikationen använder actions som konfigurerats utan att ange ett namespace eller ett wildcard namespace (t ex ”/*”). Dock kan nya attack vektorer upptäckas i en nära framtid, så bästa rekommendationen är att uppgradera Struts.

Mer information:

https://semmle.com/news/apache-struts-CVE-2018-11776
https://cwiki.apache.org/confluence/display/WW/S2-057
https://cert.se/2018/08/kritisk-sarbarhet-i-struts-2

NSEC SOC följer upp om vi kan applicera några nya signaturer i de olika skydden/detektionssensorer vi hanterar i våra tjänster för detta specifika behov.

mvh

NSEC SOC