Zero
(Immagine: Wikimedia Commons; file di foto)
Un critico di vulnerabilità di sicurezza nel server open-source, il software consente agli hacker di prendere facilmente il controllo di un server interessato — a mettere i dati aziendali sensibili al rischio.
La vulnerabilità consente a un utente malintenzionato di eseguire codice sul server di applicazioni utilizzando il RESTO plugin, costruito con Apache Struts, secondo i ricercatori di sicurezza che ha scoperto la vulnerabilità.
Tutte le versioni di Struts, dal 2008, sono colpiti, ha detto i ricercatori.
Apache Struts è utilizzato in tutta la Fortuna del 100 per fornire applicazioni web in Java, e poteri di front e back-end di applicazioni. L’uomo Yue Mo, un ricercatore di sicurezza a LGTM, che ha condotto lo sforzo che ha portato il bug della scoperta, ha detto che i Struts è utilizzato in molti, accessibile al pubblico, applicazioni web, come ad esempio la prenotazione di biglietti aerei e sistemi di internet banking.
Mo ha detto che tutto un hacker deve “è un web browser.”
“Non posso sottolineare abbastanza quanto sia incredibilmente facile da sfruttare”, ha detto Bas van Schaik, product manager presso Semmle, una società il cui software di analisi è stato utilizzato per scoprire la vulnerabilità.
“Se sai cosa richiesta da inviare, è possibile avviare qualsiasi processo sul server web in esecuzione un’applicazione vulnerabile”, ha detto.
La vulnerabilità è causata da come Struts deserializza dati non attendibili, Mo ha detto. Un utente malintenzionato può sfruttare la falla per eseguire qualsiasi comando interessato, Struts server, anche dietro un firewall aziendale. “Se il server contiene il cliente o l’utente di dati non è difficile a tutti di raccogliere dati e trasferire da qualche altra parte,” van Schaik, ha detto. L’aggressore può anche utilizzare il server come un punto di ingresso per le altre zone della rete, in modo efficace, bypassando il firewall aziendale e di accedere ad altri schermato-le aree della società, ha detto.
“Un utente malintenzionato può sfruttare la vulnerabilità per trovare le credenziali di connettersi al server di database ed estrarre tutti i dati,” ha detto. Peggio ancora, ha aggiunto, un utente malintenzionato può cancellare i dati.
“Un creativo attaccante sarà una giornata campale,” ha detto. “E anche peggio: L’organizzazione sotto attacco può anche non notare fino a quando non è ben troppo tardi.”
Un exploit è stato sviluppato dai ricercatori di sicurezza, ma non è stato rilasciato per dare tempo alle imprese per la patch dei loro sistemi. Ha detto che lui non è a conoscenza di coloro che sfruttano la vulnerabilità, ma ha avvertito che si attende a questo cambiamento “entro poche ore” del bug particolari sono stati resi pubblici.
“Le aziende possono davvero scramble per risolvere le loro infrastrutture,” van Schaik, ha detto.
Un codice sorgente correzione è stata rilasciata alcune settimane prima, e Apache rilasciato un patch di martedì per risolvere la vulnerabilità.
Molte aziende, tuttavia, sarà vulnerabile agli attacchi fino a che i loro sistemi non sono aggiornati.
Diversi siti web del governo, tra cui l’IRS e la California department of Motor Vehicles, insieme ad altre importanti aziende multinazionali, come la Virgin Atlantic e Vodafone, utilizzare il software e sono potenzialmente interessati dalla vulnerabilità — ma van Schaik, ha detto che la lista era “la punta dell’iceberg”.
Come molti come il 65 per cento delle aziende Fortune 500 sono potenzialmente interessati da questa vulnerabilità, ha detto Fintan Ryan, un analista del settore presso Redmonk, in una e-mail.
Ryan ha detto che la cifra era basato sul noto l’utilizzo di Struts attraverso le Fortune 100, come sviluppatore, le metriche e i dati relativi alle assunzioni. Ha detto che i Struts è utilizzato in genere per mantenere o aumentare le applicazioni esistenti, piuttosto che di nuove applicazioni web.
Non c’è modo specifico per i ricercatori di sicurezza o gli attaccanti esternamente verificare se un server è vulnerabile senza sfruttare la vulnerabilità.
“Si scopre che non c’è altro modo di annunciare la vulnerabilità pubblicamente e lo stress come importante è che la gente aggiornare i loro Struts componenti,” van Schaik, ha detto.
“Semplicemente non c’è altro modo per raggiungere le aziende che sono interessate”, ha detto.
In contatto con me in modo sicuro
Zack Whittaker può essere raggiunto in modo sicuro sul Segnale e WhatsApp al 646-755-8849, e la sua PGP impronte digitali per l’e-mail è: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Leggi Di Più
ZDNET INDAGINI
Trapelate TSA documenti rivelano aeroporto di New York ondata di falle di sicurezza
Governo USA ha spinto le ditte di tecnologia a portata di mano il codice sorgente
Al confine con gli stati UNITI: Discriminati, arrestato, perquisito, interrogato
Milioni di cliente di Verizon record esposti nell’intervallo di sicurezza
Soddisfare le oscure tech broker che forniscono i dati alla NSA
All’interno del terrore globale incagli che segretamente ombre milioni
FCC presidente votato per vendere la vostra cronologia di navigazione — così abbiamo chiesto di vedere la sua
Con un unico wiretap ordine, autorità ascoltato in su 3,3 milioni di telefonate
198 milioni di Americani colpiti da ‘più grande mai’ elettore record di perdita di
La gran bretagna ha superato le più estreme di sorveglianza legge mai passato in una democrazia’
Microsoft dice ‘non sono noti ransomware’ gira su Windows 10 S — in questo modo abbiamo cercato per elaborarlo
Trapelato un documento rivela regno UNITO piani per una più ampia sorveglianza
0