Nul
(Afbeelding: Wikimedia Commons; foto bestand)
Een kritiek beveiligingslek in open-source server software die hackers in staat stelt om eenvoudig de controle van een server waarop — het zetten van gevoelige bedrijfsgegevens in gevaar.
De kwetsbaarheid kan een aanvaller op afstand uitvoeren van code op servers die draaien toepassingen met behulp van de REST plugin, die gebouwd is met Apache Struts, volgens beveiligingsonderzoekers die ontdekte dat de kwetsbaarheid.
Alle versies van Struts sinds 2008 zijn getroffen, aldus de onderzoekers.
Apache Struts is gebruikt in de Fortune 100 en web applicaties in Java, en het bevoegdheden van front – en back-end applicaties. Man Yue Mo, een security-onderzoeker bij LGTM, die leiding gaf aan de inspanningen die hebben geleid tot de bug ‘ s ontdekking, zei dat de Veerpoten wordt gebruikt in vele publiek toegankelijke web toepassingen, zoals de luchtvaartmaatschappij boeken en internet banking systemen.
Mo zei dat al een hacker moet “is een web browser.”
“Ik kan niet genoeg benadrukken hoe ongelooflijk gemakkelijk is te exploiteren,” zei Bas van Schaik, product manager bij Semmle, een bedrijf waarvan de analytische software werd gebruikt voor het ontdekken van de kwetsbaarheid.
“Als je weet wat te vragen, kunt u beginnen met een proces op de web server met een kwetsbare applicatie,” zei hij.
De kwetsbaarheid wordt veroorzaakt door hoe Struts deserializes onbetrouwbare gegevens, Mo zei. Een aanvaller kan misbruik maken van het gebrek te voeren elke opdracht op een betrokken Struts-server, zelfs achter een bedrijfs-firewall. “Als de server bevat de klant of gebruiker gegevens het is helemaal niet moeilijk om het verzamelen van die gegevens en overbrengen naar ergens anders,” van Schaik zei. De aanvaller kan ook gebruik maken van de server als een toegangspoort tot andere gebieden van het netwerk zijn, effectief te omzeilen van de corporate firewall en het verkrijgen van toegang tot andere afgeschermde gebieden van het bedrijf, zei hij.
“Een aanvaller het beveiligingslek te vinden in de referenties, de verbinding met de database server, en extract alle gegevens,” zei hij. Erger nog, hij toegevoegd, kan een aanvaller de gegevens verwijderen.
“Een creatieve aanvaller zal een veld dag,” zei hij. “En nog erger: De organisatie onder aanval kan niet eens merken totdat het goed is het te laat.”
Een exploit is ontwikkeld door security-onderzoekers, maar nog niet is vrijgegeven aan geven bedrijven de tijd om de patch voor hun systemen. Hij zei dat hij niet bewust van iedereen die met het uitbuiten van de kwetsbaarheid, maar waarschuwde dat hij verwacht dat dit verandert “binnen een paar uur” van de bug ‘ s gegevens worden openbaar gemaakt.
“Bedrijven kunnen inderdaad klauteren om vast te stellen hun infrastructuur” van Schaik zei.
Een bron code fix werd uitgebracht een paar weken voordien, en Apache bracht een volledige patch op dinsdag naar de kwetsbaarheid repareren.
Maar veel bedrijven kwetsbaar is voor aanvallen tot hun systemen worden gepatched.
Verschillende websites van de overheid, waaronder de BELASTINGDIENST en Californië Deptartment van Motorvoertuigen, samen met andere grote internationale bedrijven zoals Virgin Atlantic en Vodafone, het gebruik van de software en zijn mogelijk beïnvloed door de kwetsbaarheid — maar van Schaik zei dat de lijst was “het topje van de ijsberg.”
Zo veel als 65 procent van de Fortune 500-lijst zijn mogelijk beïnvloed door de kwetsbaarheid, zei Fintan Ryan, een industrie-analist bij Redmonk, in een e-mail.
Ryan zei de figuur is gebaseerd op de bekende gebruik van Versterkingen in de Fortune 100, zoals ontwikkelaar van statistieken en het inhuren van gegevens. Hij zei dat Struts is typisch om te ondersteunen of uitbreiden van bestaande applicaties, eerder dan de nieuwere toepassingen van het web.
Er is geen specifieke manier voor de onderzoekers van de veiligheid of de aanvallers om extern te testen als een server kwetsbaar is zonder gebruik te maken van de kwetsbaarheid.
“Het blijkt dat er geen andere manier is dan om aan te kondigen dat de kwetsbaarheid openbaar en benadrukken hoe belangrijk het is dat mensen een upgrade van hun Stutten onderdelen” van Schaik zei.
“Er is gewoon geen andere manier om te bereiken dat de bedrijven die worden getroffen,” zei hij.
Neem Contact met mij goed
Zack Whittaker kan worden bereikt stevig Signaal en WhatsApp op 646-755-8849, en zijn PGP vingerafdruk voor e-mail is: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Lees Meer
ZDNET ONDERZOEKEN
Gelekt TSA documenten onthullen in New York airport golf van gebrekkige beveiliging
AMERIKAANSE regering geduwd tech bedrijven om de hand over de source code
Bij de AMERIKAANSE grens: Gediscrimineerd, vastgehouden, gezocht, ondervroeg
Miljoenen klant van Verizon records blootgesteld in veiligheid te vervallen
Aan de schimmige tech makelaars dat levert de data voor de NSA
Binnen de wereldwijde terreur watchlist dat in het geheim schaduwen miljoenen
FCC-voorzitter gestemd voor het verkopen van uw browsegeschiedenis, dus hebben we gevraagd te zien zijn
Met een enkele aftappen om de AMERIKAANSE autoriteiten luisterden in op 3,3 miljoen telefoongesprekken
198 miljoen Amerikanen getroffen door de grootste ooit’ kiezer records lek
Groot-brittannië heeft doorgegeven ‘de meest extreme toezicht wet ooit voorbij in een democratie’
Microsoft zegt ‘geen bekende ransomware’ draait op Windows, 10 S, dus hebben we geprobeerd om te hacken
Uitgelekt document onthult de BRITSE plannen voor een bredere internet surveillance
0