Hackers exploram brecha no Apache Struts para atacar servidores web corporativos

Hackers estão explorando uma vulnerabilidade de uma atualização recente no Apache Struts que lhes permite executar remotamente programas mal-intencionados em servidores web. O Apache Struts é um framework de desenvolvimento web de código-fonte aberto para aplicações em Java. Ele é amplamente utilizado para criação de sites corporativos em setores como educação, governo, serviços financeiros, varejo e mídia.

Na segunda-feira, 6, os desenvolvedores do Apache Struts corrigiram uma vulnerabilidade de alto impacto na estrutura do framework do Jacarta Multipart. Horas depois, um exploit para a falha apareceu em sites de língua chinesa e quase imediatamente efetuaram ataques, de acordo com pesquisadores da Cisco Systems.

A vulnerabilidade é muito fácil de explorar e permite que hackers executem comandos do sistema com os privilégios do usuário que está realizando o processo no servidor web. Se o servidor estiver configurado para executar como root, processo que gera permissões de administrador, o sistema é completamente comprometido. Executar o código como um usuário com privilégios inferiores também é uma ameaça séria de segurança.

O que é pior é que a aplicação web desenvolvida em Java não precisa mesmo implementar a funcionalidade de upload de arquivos através do analisador do Jacarta Multipart para ser vulnerável. De acordo com pesquisadores da Qualys, a simples presença no servidor web deste componente, que é parte inerente do framework Apache Struts, é suficiente para permitir a exploração.

“É desnecessário dizer que achamos que esta é uma questão de alta prioridade e a consequência de um ataque bem-sucedido é terrível”, disse Amol Sarwate, diretor dos laboratórios de vulnerabilidade da Qualys, em um post no blog da empresa.

Empresas que usam o Apache Struts em seus servidores web devem atualizar o framework para versões 2.3.32 ou 2.5.10.1 o mais rápido possível.

Pesquisadores da Cisco Talos identificaram “um elevado número de eventos de exploração”. Alguns deles apenas executam o comando “whoami” do Linux (que mostra o usuário atual do sistema) para determinar os privilégios de usuário do servidor web e provavelmente são utilizados para sondagem inicial. Outros vão mais longe e interrompem o firewall Linux e depois baixam um arquivo executável de extensão ELF que é processado no servidor. “As cargas têm variado, mas incluem um script IRC, um bot DoS e uma amostra relacionada com o botnet bill gates”, disseram os pesquisadores da Talos em um post no blog da empresa.

De acordo com os pesquisadores é um pouco incomum que ataques comecem logo depois que a falha é anunciada e ainda não está claro se um exploit para a vulnerabilidade já existia em círculos fechados antes de segunda-feira.

Os usuários que não têm como fazer uma atualização imediata do Struts para corrigir a brecha podem aplicar uma solução alternativa que consiste em criar um filtro de servlet para content-type que irá descartar quaisquer pedidos que não tiverem correspondência multipart/formulário de dados. Regras de firewall para aplicativos web para bloquear essas solicitações também estão disponíveis em vários fornecedores.