Kritisk sårbarhet i plug-in til Apache Struts

Publisert: 05.10.2017

Det er oppdaget en sårbarhet i et plug-in til Java MVC-rammeverket Apache Struts. Sårbarheten har fått navnet CVE-2017-9805 [1] og betegnes som kritisk.

I kommunikasjonsmodulen REST plug-in til Apache Struts skal det være benyttet XstreamHandler med en instans av Xstream for deserialisering uten noen form for filtrering av datatype. Sårbarheten kan, hvis utnyttet under deserialisering av XML-payload, gi en uautentisert angriper muligheten til å kjøre vilkårlig kode på Apache Struts-tjeneren.

Sårbarheten er tilstede i versjonene Struts 2.5 - Struts 2.5.12.

Apache Struts har på side nettsider oppfordret til at sårbar programvare oppdateres til versjon Struts 2.5.13 [1]. Det skal ikke være mulig å konfigurere seg rundt sårbarheten. Virksomheter som ikke har mulighet til å oppdatere programvaren anbefales derfor å fjerne Struts REST plug-in dersom dette ikke er i bruk, eller begrense bruken til vanlige server HTML-sider og JSON-objekter [1].

Vi i NorCERT anbefaler systemansvarlige for instanser av produkter som benytter Apache Struts å ta kontakt med utviklerne av disse for å undersøke om deres programvare er sårbar. Det rapporteres om proof-of-concept-kode for utnyttelse av sårbarheten på LGTM sin blogg [2], men vi er ikke kjent med aktiv utnyttelse av sårbarheten i Norge.

Ytterligere informasjon om sårbarheten og om hvordan den ble oppdaget er tilgjengelig på bloggen til selskapet LGTM som oppdaget sårbarheten [2], og en nyhetsartikkel publisert på Threatpost [3].

Ved spørsmål er NSM NorCERT tilgjengelig 24/7 på e-post og telefon: 02497.

Eksterne kilder:

  1. http://struts.apache.org/docs/s2-052
  2. https://lgtm.com/blog/apache_struts_CVE-2017-9805_announcement
  3. https://threatpost.com/patch-released-for-critical-apache-struts-bug/127809/