Menú

Vulnerabilidad crítica en Apache Struts

Una vulnerabilidad crítica descubierta recientemente en Apache Struts ya se está explotando en la naturaleza.

Los piratas informáticos están abusando de CVE-2018-11776 para atacar sistemas que ejecutan Apache Struts 2, un popular marco de código abierto para desarrollar aplicaciones en Java. Específicamente, algunos personajes desagradables han abusado de la falla al intentar instalar el minero de criptomonedas CNRig.

La vulnerabilidad afecta a todas las versiones de mantenimiento de la 2.3 hasta la 2.3.34 y de la 2.5 hasta la 2.5.16. Las versiones del framework que en estos momentos no cuenten con soporte también están afectadas. Según Semmle, el fallo es causado debido a una validación insuficiente de los datos de usuarios no confiables en el núcleo de Apache Struts, abriendo la puerta para que un atacante remoto, en forma de usuario no autenticado, pueda ejecutar código arbitrario sobre el sistema objetivo.

Los desarrolladores de Apache Struts, que es un proyecto de Apache Software Foundation, ha pedido a los administradores de sistema que actualicen sus sistemas cuanto antes para aplicar los parches, que están disponibles a partir de las versiones 2.3.35 y 2.5.17. Recorded Future explican que “un atacante puede explotar el fallo añadiendo su propio espacio de usuario a la URL como parte de una petición HTTP.

La vulnerabilidad podría estar siendo explotada de forma activa, recomendamos actualizar Apache Struts cuanto antes para proteger los sistemas que lo utilicen.