Apache Struts fue puesta en el centro de la escena del ataque a Equifax

Equifax: pone a Apache Struts en el centro del problema

Una nueva falla de seguridad detectada en Apache Struts sale a la luz después del ataque a Equifax y permite a un atacante no autenticado ejecutar código arbitrario en un sistema vulnerable.

Aunque la Fundación de Software Apache lo clasificó como una vulnerabilidad alta, Cisco ha esbozado una larga lista de sus productos en el Aviso de Seguridad que se ven afectados por esta falla.

Alcance del problema

La vulnerabilidad está contenida en la funcionalidad FreeMarker del paquete Apache Struts 2. FreeMarker Template Language es muy utilizado en Apache Struts y en numerosos proyectos basados ​​en Java.

Los desarrolladores pueden utilizarlo para enlazar valores de parámetros enviados desde una aplicación de usuario a un servidor con variables internas declaradas de la aplicación.

Un rendimiento incorrecto hace posible que los atacantes envíen expresiones OGNL (Object Graph Navigation Language) al servidor, cuyo procesamiento puede causar la ejecución arbitraria de código.

Actualmente, la vulnerabilidad se confirma en varios productos de Cisco:

a: Cisco Digital Media Manager – no se publicará ningún parche ya que el soporte del producto fue oficialmente cesado el 19 de agosto de 2016

b: Cisco Hosted Collaboration Solution para Contact Center

c: Cisco Unified Contact Center Enterprise

d: Cisco Unified Intelligent Contact Management Empresa

Más de 20 productos de Cisco están aún bajo investigación para determinar si tienen defectos de seguridad.

La información finalizada estará disponible en la actualización del Aviso de seguridad.

No sólo Cisco: fue vulnerado en Equifax

Aparte de CVE-2017-12611 (S2-053), varias fallas de seguridad similares, incluyendo CVE-2017-9805 (S2-052), CVE-2017-9791 (S2-048) y CVE-2017-5638 (S2- 045), ya habían sido detectadas en Apache Struts.

Los medios informaron de que los hackers explotaron una vulnerabilidad en Apache Struts para robar los registros de clientes de la agencia de informes crediticios Equifax. Los detalles exactos del ataque aún no fueron confirmados.

Este tipo de ataques pueden ser utilizados para robar datos de tarjetas de crédito o utilizar información sobre personas que tienen una buena puntuación de crédito para engañar a los bancos y obtener préstamos.

Por otra parte, el sitio web de Equifax utilizado para configurar la supervisión de cuentas de crédito también resultó tener una vulnerabilidad que los hackers podrían explotar para robar los datos de los usuarios.

A raíz de la violación de Equifax, el equipo de desarrollo de Apache Struts emitió una declaración con una recomendación a todos los usuarios del marco aconsejando el uso de herramientas especiales para garantizar la seguridad de la infraestructura.

Cómo protegerse

Aunque una serie de productos de Cisco son vulnerables a CVE-2017-12611, es probable que esto no tenga consecuencias a gran escala, ya que una aplicación bajo ataque necesita tener una configuración específica para que esta vulnerabilidad pueda ser explotada correctamente.

Si los desarrolladores no utilizan estructuras FreeMarker Template Language o aplican exclusivamente entidades de solo lectura para inicializar atributos, es imposible explotar el error.

En lo personal recomiendo a los desarrolladores de aplicaciones instalar Apache Struts versión 2.5.12 o 2.3.34, que contiene una configuración más restringida de FreeMarker.

Esto reduce el riesgo de un ataque exitoso de forma significativa.