攻擊者試圖利用Apache Struts漏洞CVE-2023-50164

CVE-2023-50164 是 Apache Struts 2 中最近修補的路徑遍歷漏洞，攻擊者正試圖利用 CVE-2023-50164 的公共漏洞利用證明 (PoC) 漏洞利用程式碼。

近日，管理 Struts 庫的 Apache 基金會敦促開發人員應用補丁來解決導致路徑遍歷攻擊的缺陷，該缺陷允許訪問 Web 伺服器上攻擊者不應訪問的其他目錄，並且在某些情況下能夠上傳惡意檔案以進行遠端程式碼執行。該漏洞被跟蹤為 CVE-2023-50164，CVSS 評分為 9.8 分(滿分 10 分)。

Apache Struts 是一個用於開發 Java EE Web 應用程式的開源框架。全球多家公司包括財富100強企業和政府組織都在使用。

“攻擊者的目標是部署 webshell，在某些情況下針對引數'fileFileName'——這與原始漏洞利用 PoC 的偏差，”網路威脅情報公司的安全情報小組表示。

Shadowserver基金會也開始注意到他們的感測器中的漏洞利用嘗試，但未看到成功利用。

專家表示，利用這一安全漏洞可能導致攻擊者修改敏感檔案、資料盜竊、服務中斷甚至在網路內橫向移動。

另一所網路安全公司表示，對 CVE-2023-50164 的利用涉及幾個先決條件，具體取決於使用 Apache Struts 的應用程式的行為和實現。“攻擊者很難大規模掃描和利用這個漏洞，”該公司稱。

漏洞影響版本

Source Incite安全人員報告CVE-2023-50164，透過操縱檔案上傳引數實現路徑遍歷，並且在某些情況下，可能允許攻擊者上傳可用於實現遠端程式碼執行的惡意檔案。

該漏洞影響 Apache Struts 版本：

• 2.0.0 到 2.5.32

• 6.0.0 到 6.3.0.1

• 2.0.0 到 2.3.37(不再受支援)

目前已經在Apache Struts 2.5.33和6.3.0.2版本中進行了修復，Struts 2的開發人員和使用者已經被敦促儘快升級。

PoC 漏洞利用程式碼已 公開

12月12日，該漏洞的分析和複製已經發布，作者指出:“這個漏洞需要根據不同的場景產生不同的POC，因為如果在檔案上傳點進行嚴格的攔截和檢查，將很難繞過。”

GreyNoise的檢測工程師發表分析指出，Apache Struts嵌入在各種企業級應用程式中，並指出“雖然[研究人員]已經證明你可以將任意shell.jsp或webshell拖放到Apache Struts2到Web應用程式中(...)但被刪除的shell.jsp檔案必須位於攻擊者可以遠端訪問的有效路由中，才能被觸發。”這在不同的web應用程式中會有所不同。

參讀連結：

https://www.helpnetsecurity.com/2023/12/14/poc-exploit-cve-2023-50164/