Experts hebben een “ongelofelijk gevaarlijke” RCE-fout gevonden in Apache Struts 2. Dit zou tot een tweede datalek van het formaat van Equifax kunnen leiden. Dat was een datalek waarbij de gegevens van zo’n 143 miljoen Amerikanen gelekt werden.

Veiligheidsexperts van het Semmle Security Research Team ontdekten de tweede ernstige kwetsbaarheid in Apache Struts 2. Het blijkt doordat de niet-vertrouwde gebruiksgegevens onvoldoende gecontroleerd worden mogelijk voor kwaadwillenden om van een afstandje code uit te laten voeren. Zodoende kunnen aanvallers de fout uitbuiten door simpelweg een specifieke URL te bezoeken vanaf de doelserver.

Invloed op iedereen

De kwetsbaarheid heeft de naam CVE-2018-11776 gekregen en heeft volgens het team van Semmle invloed op “alle ondersteunde versies van Apache Struts 2”. Het probleem ligt in de kernsoftware, wat betekent dat ongeacht de plug-ins die eventueel geïmplementeerd zijn, het gewoon blijft bestaan.

De populariteit en bijna alomtegenwoordigheid van Struts maakt de nieuwe exploit extra zorgwekkend. Het framework stelt ontwikkelaars ertoe in staat om toepassingen te ontwikkelen en wordt vooral gebruikt om Java-apps te bouwen. Dat wordt door vrijwel de hele Fortune 500 gedaan, waarmee bijna alle grote bedrijven mogelijk kwetsbaar zijn.

Twee criteria

Er zijn twee zaken waaraan een app moet voldoen, om inderdaad kwetsbaar te zijn. Allereerst moet de ‘alwaysSelectFullNamespace’ flag op ‘true’ staan. Dat is automatisch het geval als een app gebruik maakt van de Struts Convention plug-in. Op de tweede plaats moeten apps gebruik maken van acties zonder dat daar specifieke voorwaarden aan verbonden zijn.

De kwetsbaarheid heeft volgens de onderzoek invloed op zo’n beetje alle apps die met Struts ontwikkeld zijn. Apache heeft al een patch uitgebracht en roept alle gebruikers van Struts op om deze te installeren.