Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Apache-projektin tuottamassa web-sovellusten toteuttamiseen käytettävässä avoimen lähdekoodin Struts 2 -ohjelmistokehyksessä on havaittu kriittinen haavoittuvuus CVE-2023-50164. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa verkon yli kohteessa mielivaltaista koodia ja ottaa mahdollisesti haltuunsa haavoittuvan järjestelmän. Haavoittuvuuden korjaamiseen on julkaistu ohjelmistopäivitys, joka tulee ottaa käyttöön välittömästi.

Apache Software Foundation julkaisi 9.12.2023 haavoittuvuustiedotteen vakavasta mielivaltaisen koodin suorittamisen verkon yli mahdollistavasta (RCE) haavoittuvuudesta Struts 2 -ohjelmistokehyksessä. Haavoittuvuus liittyy tiedoston lautauksen toteuttamiseen käytettävän komponentin syötetietojen käsittelyn puutteellisuuteen ja sen seurauksena mahdolliseen haittakoodin suorittamiseen haavoittuvalla web-palvelimella.

Apache Struts 2 on varsin yleisesti käytetty ohjelmistokehys Java-pohjaisten web-sovellusten toteuttamisessa. Haavoittuvuuden laajempaa esiintyvyyttä on kuitenkin vaikeaa arvioida koska se liittyy vain tiettyyn yksittäiseen toiminnallisuuteen, joka ei välttämättä ole käytössä sellaisenaan Struts 2 -ohjelmistokehystä käyttävässä web-sovelluksessa.

Korjaava ohjemistoversio tulee ottaa käyttöön viipymättä heti kun se on omien ympäristöjen osalta mahdoilista tai heti kun se on käytössä olevan haavoittuvan ohjelmiston valmistajalta tarjolla.

Tilanne 13.12.2023:

Haavoittuvuuden hyväksikäyttömenetelmä on julkisesti tiedossa mutta varsinaista hyväksikäytön havainnollistavaa esimerkkikoodia ei ole vielä yleisesti saatavilla. Haavoittuvuuden aktiivisesta hyväksikäytöstä ei ole vielä merkkejä mutta tilanne saattaa muuttua hyvinkin nopeasti.

Useilla ohjelmistovalmistajilla on edelleen kesken tutkinta, siitä koskeeko haavoittuvuus heidän tuotteitaan ja sen johdosta on hyvä seurata aktiivisesti oman organisaation käytössä olevien Java-pohjaisten web-sovellusten valmistajien haavoittuvuustiedotteita ja toimia niiden antamien ohjeiden mukaisesti haavoittuvuuden hyväksikäytön estämiseksi.

Päivitys 15.12.2023:

Haavoittuvuuden hyväksikäyttöyrityksiä perustuen julkiseen PoC-menetelmään on havaittu maailmalla mutta meillä ei ole tiedossa tietomurtotapauksia, joissa hyväksikäyttö olisi kuitenkaan vielä onnistunut. Haavoittuvuuden korjaavan version käyttöönotto kannattaa priorisoida hyvin korkealle, jotta ei päädy ensimmäisten onnistuneiden tapausten joukkoon.

 

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

  • Apache Struts 2.0.0 - 2.5.32
  • Apache Struts 6.0.0 - 6.3.0.1
     

Mistä on kysymys?

Päivitä käyttöön haavoittuvuuden korjaavat ohjelmistoversiot valmistajan ohjeiden mukaisesti:

  • Struts 2.5.33
  • Struts 6.3.0.2 tai uudempi

Mitä voin tehdä?

Valmistajan haavoittuvuustiedote: Apache Security Bulletin S2-066 (Ulkoinen linkki)

NIST NVD haavoittuvuustieto: CVE-2023-50164 (Ulkoinen linkki)

Cisco tiedote haavoittuvuuden vaikutuksiin liittyen: Apache Struts Vulnerability Affecting Cisco Products: December 2023 (Ulkoinen linkki)

RedHat tiedote haavoittuvuudesta: CVE-2023-50164 (Ulkoinen linkki)

Päivitetty tilanne haavoittuvuuden hyväksikäytön havaintojen osalta.