Vulnerabilità critica su Apache Struts 2, massiccia ondata di attacchi

Una vulnerabilità critica di Apache Struts 2 (un framework open-source per la creazione di web-app) è stata sfruttata massicciamente nel corso degli ultimi giorni da vari cybercriminali, e permette di prendere un controllo pressoché completo dei server web usati da banche, agenzie governative e grandi società del web.

I maintainer del progetto hanno già rilasciato la patch correttiva lo scorso lunedì, ma da allora si è verificata un'escalation di attacchi con scopi differenti, che ricadono sostanzialmente in due grandi categorie: distribuzione di malware e azioni esplorative. Il motivo per il quale la vulnerabilità sia stata sfruttata così massicciamente anche dopo il rilascio della patch non è chiara. Una possibilità è che i maintainer di Apache Struts 2 non abbiano comunicato adeguatamente il rischio associato alla vulnerabilità e che la campagna di aggiornamento non stia procedendo con la dovuta rapidità da parte delle vittime potenziali.

Quest'ultima, d'altra parte, sarebbe estremamente semplice da sfruttare e da rilevare con uno scan della rete, e non richiede nemmeno il recupero di credenziali di amministratore per consentire l'esecuzione di codice arbitrario da remoto. Attualmente non sono disponibili informazioni dettagliate su chi possano essere le vittime coinvolte, tutto quello che è dato sapere è che si tratta di un "elevato numero di eventi". I primi tentativi di sfruttamento della vulnerabilità sono stati rilevati il 7 marzo, poco dopo la pubblicazione un exploit proof-of-concept.

La vulnerabilità risiede nel parser Jakarta, un elemento standard del framework e che ha bisogno solamente di una libreria di supporto per poter operare. Le versioni di Apache Struts interessate dal problema sono dalla 2.3.5 alla 2.3.31 e dalla 2.5 alla 2.5.10. E' ovviamente raccomandato un aggiornamento a 2.3.32 o 2.5.10.1 il più presto possibile.

Maggiori informazioni sono disponibili anche presso il blog di Qualys, a questo indirizzo.