El pasado mes de septiembre os contábamos cómo un grave fallo en Apache Struts ponía en peligro a un gran número de compañías en todo el mundo. Aunque muchos ignoraron este grave fallo, este fue la causa por la que grandes compañías, como Equifax, terminaron hackeadas y en manos de piratas informáticos, exponiendo así los datos de los usuarios de dicha compañía. Ahora, justo 3 meses después de que se diera a conocer este grave fallo de seguridad, Apache Struts se ha vuelto a ver afectado por dos nuevas vulnerabilidades graves que, de nuevo, pueden suponer un gran peligro para los datos de los usuarios.
Apache Struts es un framework de código abierto muy utilizado para crear todo tipo de aplicaciones web basadas en Java y compatibles con las tecnologías más utilizadas, como REST, AJAX y JSON. 65 de las 100 compañías más grandes en todo el mundo utilizan este framework para crear sus propias aplicaciones web en sus servidores, por lo que la más mínima vulnerabilidad en esta plataforma puede ser catastrófica, como ha ocurrido hace 3 meses.
Hace algunas horas, el US-CERT, departamento de ciberseguridad americano, informaba de dos nuevas vulnerabilidades que afectan a Apache Struts, vulnerabilidades que pueden terminar brindando el control de los servidores afectados a los piratas informáticos que las exploten.
CISA Cyber@CISACyberApache Software Foundation Releases Security Updates https://t.co/GUeHQrz5od05 de diciembre, 2017 • 00:48
25
4
La primera de las vulnerabilidades, S2-054, se encuentra en el plugin REST de Apache Struts, y puede permitir a un atacante realizar un ataque DoS utilizando peticiones maliciosas, debido a la librería JSON obsoleta, al intentar procesar las peticiones maliciosas.
La segunda de las vulnerabilidades encontradas en Apache Struts es S2-055, se encuentra en la librería Jackson JSON y, aunque de momento no se ha podido comprobar la peligrosidad de esta vulnerabilidad, se cree que está relacionada con el fallo CVE-2017-7525 de com.fasterxml.jackson.
Cómo protegernos de estas vulnerabilidades
Estas dos vulnerabilidades han sido consideradas como de peligrosidad media. Aunque a simple vista pueden no ser tan graves como las vulnerabilidades detectadas el pasado mes de septiembre, sí pueden terminar suponiendo un problema para las plataformas web que, o bien pueden dejar de funcionar, o bien pueden terminar siendo utilizados como medios para otros ataques a mayor escala.
Por ello, se recomienda que todos aquellos que tengan plataformas programadas en Apache Struts actualicen cuanto antes a la última versión, Struts 2.5.14.1, la cual ha sido lanzada específicamente para solucionar estas dos vulnerabilidades. Según US-CERT, las versiones afectadas por esta vulnerabilidad son todas las comprendidas entre la 2.5.0 y la 2.5.14. Hacer cursos online de ciberseguridad puede ayudarte.
Otra posible solución es, en el caso de la primera vulnerabilidad, utilizar el handler Jackson en lugar del handler JSON-lib y, en el caso de la segunda vulnerabilidad, actualizar manualmente las dependencias Jackson en el proyecto a una versión que no sea vulnerable.
¿Qué opinas de las vulnerabilidades de Apache Struts? ¿Crees que pronto veremos otro ataque, como el de Equifax, debido a estas nuevas vulnerabilidades?