Beheer

Security
Apache Software Foundation

Exploits voor kritiek Apache-gat duiken op

Exploitcode voor het grote gat in het Apache Struts-framework is opgedoken, in verschillende varianten. De klok tikt voor beheerders.

27 augustus 2018

Exploitcode voor het grote gat in het Apache Struts-framework is opgedoken, in verschillende varianten. De klok tikt voor beheerders.

Sites met webapplicatiesoftware Apache Struts hebben upgradewerk voor de boeg. Verschillende varianten exploitcode zijn nu publiekelijk beschikbaar om op afstand misbruik te kunnen maken van het recente grote gat in dat open source product.

Proof-of-Concept (PoC) code is beschikbaar op developerssite GitHub voor de kritieke kwetsbaarheid (CVE-2018-11776) die afgelopen week is onthuld in Apache Struts. De ontdekking is in april al gemeld aan de makers van Struts. Dat framework voor webapplicaties is kwetsbaar voor RCE-aanvallen (remote code execution). Kwaadwillenden kunnen zonder authenticatie op vatbare systemen eigen code daarop uitvoeren en zo mogelijk toegang verkrijgen tot websites en servers.

Één van de PoC-varianten is mogelijk niet werkbaar op nieuwere versies van Struts, waarin de kwetsbaarheid wel aanwezig is. Dit zou echter een kwestie van tijd en ontwikkelwerk zijn, wat kwaadwillenden naar verwachting wel willen investeren. Tegelijkertijd is het een kwestie van tijd en beheerwerk om de diepgaande kwetsbaarheid af te dekken. Bovendien zijn er nog verschillende andere exploits verschenen. Beheerders moeten dus aan de bak.

Advies: upgraden

De Apache Software Foundation, die toeziet op de ontwikkeling van het Struts-framework, biedt een workaround maar adviseert gebruikers met klem om te upgraden naar een nieuwere release. De afgelopen woensdag uitgebrachte versies 2.3.35 en 2.5.17 zijn niet kwetsbaar. Beide updates voor voorgaande versies in de twee ondersteunde release-reeksen (2.3 en 2.5) bevatten alleen securityfixes en zouden dus geheel compatibel moeten zijn met draaiende Struts-installaties. De opensourcestichting "verwacht geen backwards incompatibility issues". Mogelijk zijn nog oudere versies, die geen ondersteuning genieten, ook kwetsbaar, waarschuwt de Apache-stichting nog.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.