Noll
(Bild: Wikimedia Commons, fil foto)
En kritisk sårbarhet i open-source server-programvara gör det möjligt för hackare att enkelt ta kontroll över en server — att sätta känslig data på risk.
Sårbarheten möjliggör för angripare att köra distans kod på servrar som kör applikationer som använder RESTEN plugin, built with Apache Struts, enligt säkerhetsforskare som upptäckte sårbarheten.
Alla versioner av Struts sedan 2008 är drabbade, sade forskarna.
Apache Struts används i Fortune 100 för att ge webbapplikationer i Java, och det driver front – och back-end-program. Man Yue Mo, en säkerhetsforskare på LGTM, som ledde insatsen som ledde till felet är upptäckt, sade att Struts används i många offentligt tillgängliga webbapplikationer, som flygbolaget bokar och internet banking system.
Mo säger att alla en hacker behöver “är en webbläsare.”
“Jag kan inte betona nog hur otroligt enkelt det är att utnyttja”, säger Bas van Schaik, produktchef på Semmle, ett företag vars analytiska programvara som används för att upptäcka sårbarhet.
“Om du vet vad du begära att skicka, du kan starta en process på webbservern kör en sårbar ansökan,” sade han.
Sårbarheten beror av hur Struts deserializes opålitliga data, Mo sa. En angripare kan utnyttja fel att köra något kommando på ett påverkat Struts server, även bakom företagets brandvägg. “Om den server som innehåller kundens eller användarens data det är inte svårt att samla in det data och överföra det till någon annanstans,” van Schaik sagt. Angriparen kan också använda den server som en inkörsport till andra delar av nätverk, ett effektivt sätt att kringgå företagets brandvägg och få tillgång till andra skyddade-off delar av företaget, sade han.
“En angripare kan utnyttja säkerhetsproblemet för att hitta de autentiseringsuppgifter för att ansluta till databas-servern, och extrahera all data”, sade han. Värre, tillade han, att en angripare kan ta bort data.
“En kreativ angripare kommer att ha en field day”, sade han. “Och ännu värre: Den organisation som under attack kan inte ens märker förrän det är för sent.”
En exploatering har utvecklats av security forskare, men har inte släppts för att ge företagen tid att lappa sina system. Han sade att han inte känner av någon som utnyttjar sårbarheten men varnade för att han förväntar sig att detta kommer att ändra “inom några timmar” av fel information blir offentlig.
“Företag kan verkligen förvränga att fixa sin infrastruktur,” van Schaik sagt.
En källkod fixa släpptes några veckor innan, och Apache släppt en full patch på tisdag för att åtgärda säkerhetsproblem.
Men många företag kommer att vara sårbara för angrepp tills deras system är uppdaterat.
Flera statliga webbplatser, inklusive IRS och California ‘ s Deptartment av Motorfordon, tillsammans med andra stora multinationella företag som Virgin Atlantic och Vodafone, använda programvaran, och är potentiellt påverkade av sårbarhet — men van Schaik sade att listan var “toppen av isberget”.
Så många som 65 procent av Fortune 500 är potentiellt påverkade av sårbarhet, sade Fintan Ryan, en industri som är analytiker på Redmonk, i ett e-postmeddelande.
Ryan sa var siffran baseras på de kända användningen av Struts över Fortune 100, som till exempel utvecklare statistik och uthyrning av uppgifterna. Han sade att Struts används vanligtvis för att upprätthålla eller öka befintliga program, snarare än nyare web-applikationer.
Det finns inget specifikt sätt för säkerhet forskare eller anfallare till externt test om en server är utsatta utan att utnyttja den sårbarhet.
“Det visar sig att det finns inget annat sätt än att meddela sårbarhet offentligt och betona hur viktigt det är att människor uppgraderar sina Struts komponenter,” van Schaik sagt.
“Det finns helt enkelt inget annat sätt att nå de företag som påverkas”, sade han.
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Läs Mer
ZDNET UTREDNINGAR
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Vid den AMERIKANSKA gränsen: Diskriminerade, fängslade, sökte, förhördes
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
Med en enda avlyssna ordning, AMERIKANSKA myndigheterna lyssnade på 3,3 miljoner telefonsamtal
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
0