CVE-2023-50164 levantou preocupações significativas de segurança dentro da comunidade de segurança cibernética em 2023. Esta falha crítica (que foi publicada em 7 de dezembro de 2023) no Apache Struts 2, uma estrutura de código aberto amplamente usada para aplicativos da web, tinha o potencial de ser explorada por agentes maliciosos, levando à execução remota de código (RCE) e comprometimento severo do sistema.
As organizações que dependiam do Apache Struts tiveram que avaliar sua exposição aos riscos de exploração do CVE-2023-50164 e implementar medidas de mitigação para evitar possíveis violações. Embora os patches estejam disponíveis, as organizações que ainda não abordaram essa vulnerabilidade devem agir imediatamente. Nesta publicação, exploraremos os detalhes da exploração do CVE-2023-50164, seu impacto, recomendações de segurança acionáveis e muito mais. Continue lendo!
O que é CVE-2023-50164?
CVE-2023-50164 é uma vulnerabilidade crítica identificada encontrada no Apache Struts 2, e afetou as versões 2.0.0 a 2.5.32 e 6.0.0 a 6.3.0. A vulnerabilidade aconteceu devido à validação de entrada inadequada no mecanismo de upload de arquivo, o que permitiu que os invasores ignorassem os controles de segurança e executassem código arbitrário no sistema alvo.
Esta vulnerabilidade foi classificada como um risco RCE, tornando-a particularmente perigosa para organizações que dependem do Apache Struts para seus aplicativos da web. A exploração bem-sucedida do CVE-2023-50164 permitiu que agentes maliciosos obtivessem acesso não autorizado, executassem payloads maliciosos e potencialmente escalassem privilégios dentro do ambiente comprometido.
Mas como funcionou?
Análise técnica do exploit
A vulnerabilidade foi causada devido a medidas de segurança inadequadas na funcionalidade de upload de arquivo. Os invasores conseguiram explorar essa falha criando solicitações HTTP maliciosas que contornavam as restrições de upload e injetavam código arbitrário no sistema.
Vetor de Ataque e Exploração de CVE-2023-50164
A exploração CVE-2023-50164 ocorreu da seguinte maneira:
1️⃣ Upload de arquivo malicioso criado: O invasor enviou um arquivo especialmente projetado que contornou os filtros de segurança
2️⃣ Execução do Código Arbitrário: O arquivo carregado foi processado dentro do aplicativo, permitindo a execução de scripts ou comandos não autorizados
3️⃣ Comprometimento do sistema: Uma vez executado, o invasor conseguiu manipular o aplicativo, exfiltrar dados confidenciais ou implantar outras explorações para aumentar os privilégios
A exploração bem-sucedida pode levar à tomada completa do sistema, roubo de dados ou implantação adicional de malware.
Versões impactadas e sistemas afetados
As versões do Apache Struts afetadas pelo CVE-2023-50164 incluem:
- Suportes 2.0.0 a 2.5.32
- Suportes 6.0.0 a 6.3.0
Quaisquer aplicativos que dependam dessas versões sem implementar mitigações estavam em risco. Organizações que usam Apache Struts deveriam ter avaliado sua exposição e aplicado patches de segurança. Aqueles que ainda não aplicaram patches devem agir imediatamente.
Detecção e Indicadores de Comprometimento (IoCs)
As equipes de segurança precisavam monitorar os seguintes indicadores para detectar possíveis tentativas de exploração do CVE-2023-50164:
🔹 Uploads de arquivos incomuns com scripts executáveis em diretórios que normalmente armazenam arquivos não executáveis
🔹 Execuções de processos inesperadas vinculadas a arquivos enviados
🔹 Solicitações HTTP anômalas direcionadas a endpoints de upload de arquivos com payloads suspeitos
🔹 Alterações não autorizadas em arquivos ou configurações de aplicativos da web
O monitoramento proativo de logs do servidor, integridade de arquivos e atividades de endpoint continua sendo crucial para detectar e prevenir tentativas de exploração do CVE-2023-50164.
Algumas possíveis estratégias de mitigação
As organizações que ainda não mitigaram o CVE-2023-50164 devem tomar as seguintes medidas imediatamente:
1. Aplique patches de segurança
– A Apache Software Foundation lançou versões corrigidas abordando CVE-2023-50164.
– As organizações devem atualizar para o Struts 2.5.33 ou 6.3.0.2 imediatamente.
2. Restringir permissões de upload de arquivos
– Limite os tipos e tamanhos de arquivos que podem ser enviados.
– Aplicar controles de acesso rigorosos para locais de armazenamento de arquivos.
3. Implementar firewalls de aplicativos da Web (WAFs)
– Configure regras WAF para detectar e bloquear solicitações HTTP maliciosas que tentam explorar CVE-2023-50164.
4. Monitore o comportamento do aplicativo
– Implantar sistemas de detecção de anomalias comportamentais para identificar e mitigar atividades suspeitas associadas a explorações CVE-2023-50164.
5. Aplicar práticas de codificação seguras
– Os desenvolvedores devem integrar técnicas seguras de validação de entrada para evitar uploads de arquivos não autorizados e mitigar riscos de RCE.
Assista ao nosso episódio Non-Gated SafeDev Talk sobre segurança de código aberto e receba conselhos de especialistas e resultados práticos!
Explorações do mundo real e cenário de ameaças
Após a divulgação do CVE-2023-50164, relatórios de segurança cibernética destacaram tentativas ativas de varredura e exploração visando instâncias não corrigidas do Apache Struts.
Os atores da ameaça foram observados:
⚠️ Implantação de web shells para acesso persistente a sistemas comprometidos
⚠️ Explorando servidores sem patch para exfiltração de dados e movimentação lateral
⚠️ Usando a vulnerabilidade como ponto de acesso inicial em ataques cibernéticos em vários estágios
Embora os patches tenham mitigado grande parte do risco imediato, as organizações devem permanecer vigilantes contra ameaças semelhantes no futuro.
Como a Xygeni pode ajudar?
Como já explicamos, CVE-2023-50164 era uma vulnerabilidade crítica do Apache Struts que representava um risco significativo para algumas organizações. Embora patches tenham sido lançados, as organizações devem garantir que os implementaram para evitar futuras explorações potenciais.
Proactive gerenciamento de vulnerabilidades continua a ser essencial para mitigar os riscos de segurança do software e garantir enterprise aplicações contra ameaças emergentes. Na Xygeni, oferecemos uma solução avançada de segurança de software para ajudar organizações a detectar e mitigar riscos associados a vulnerabilidades de software como CVE-2023-50164. Alguns dos recursos mais valorizados são:
- Detecção de ameaças em tempo real
- Redução de ruído
- Acessibilidade, Priorização & Explorabilidade
- Conformidade de segurança automatizada
- Monitoramento contínuo para proteger aplicações críticas
- E muito mais!
Saiba mais sobre como a Xygeni pode proteger sua cadeia de suprimentos de software contra ameaças emergentes: obtenha uma demonstração or inscreva-se para um teste gratuito hoje!
