Beveiligingsbedrijf waarschuwt voor aanvallen via kritiek lek in Apache Struts

Cisco's beveiligingsonderdeel Talos heeft een waarschuwing afgegeven voor een groot aantal aanvallen via een lek in het Apache Struts 2-framework, dat kwaadwillenden op afstand code laat uitvoeren. Het treft gebruikers van de Jakarta Multipart-parser.

apache strutsIn een advisory schrijft het team achter Struts dat gebruikers het beste een update naar versie 2.3.32 of 2.5.10.1 kunnen uitvoeren. De waarschuwing van Talos maakt melding van een groot aantal gedetecteerde 'exploitation events'. Daarbij maken kwaadwillenden gebruik van een publiekelijk beschikbare proof of concept-exploit om kwetsbare servers aan te vallen.

Het lek, met kenmerk CVE-2017-5638, maakt het mogelijk om op afstand code uit te voeren via een bestandsupload met de Jakarta Multipart-parser. Volgens beveiligingsbedrijf Qualys is het op die manier mogelijk om een compleet systeem over te nemen. Talos merkt op dat aanvallen van verschillende niveaus plaatsvinden. Zo zijn er varianten die alleen controleren of een systeem kwetsbaar is en andere varianten die firewalls uitschakelen en vervolgens malware op het systeem binnenhalen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 09-03-2017 10:08 11

09-03-2017 • 10:08

11

Lees meer

Apache dicht kritiek lek dat sinds 2008 in Struts zat
Apache dicht kritiek lek dat sinds 2008 in Struts zat Nieuws van 6 september 2017
Applicaties in PHP, Go en Python zijn kwetsbaar via cgi door 'httpoxy'-lek
Applicaties in PHP, Go en Python zijn kwetsbaar via cgi door 'httpoxy'-lek Nieuws van 19 juli 2016
Lek in Plesk-adminpanel maakt honderdduizenden Apache-sites kwetsbaar
Lek in Plesk-adminpanel maakt honderdduizenden Apache-sites kwetsbaar Nieuws van 6 juni 2013
Malware infecteert grote hoeveelheid websites op Apache-servers
Malware infecteert grote hoeveelheid websites op Apache-servers Nieuws van 3 april 2013
Oracle voert ongeplande patchronde uit om Apache-lek
Oracle voert ongeplande patchronde uit om Apache-lek Nieuws van 19 september 2011
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (11)

-Moderatie-faq
11
9
7
4
0
1
Wijzig sortering
_Tobias 9 maart 2017 13:29
Iets meer achtergrond over Struts zou handig zijn want ik heb er nog nooit van gehoord.. :?
rkmuller @_Tobias9 maart 2017 13:42
Dat is niet zo gek. Apache Struts 2-framework is *heel* erg old school. Was eerste echte MVC framework voor Java (server side). Dat er nog bedrijven software op hebben draaien ...
Verwijderd @rkmuller9 maart 2017 21:36
struts 2 oud? je bedoelde vast struts 1 ?!
jimshatt @Verwijderd10 maart 2017 10:32
Ik weet niet wat jij oud vind, maar op de downloadpagina (https://struts.apache.org/downloads.html) staat dat versie 2.0.6 22 februari 2007 uitkwam. Ik vind 10 jaar best oud.
Dat wil overigens niet zeggen dat het niet een prima framework is. Struts (en MVC in het algemeen) dwingen je om goed na te denken over de verantwoordelijkheden van elk stukje code. Het is niet een framework waar je even quick en dirty iets mee inelkaar flanst. Al is het natuurlijk altijd mogelijk om rommel te produceren.

Na Struts werd Spring MVC populair wat out of the box al veel meer kon (Dependency Injection e.d.). Daardoor is Struts 2 nooit echt van de grond gekomen, denk ik. Ook de moeite waard is Apache Wicket, wat een meer component-based is maar toch ook een sterke MVC component heeft (en voor een groot deel door Nederlanders ontwikkeld is!!)

Toen Microsoft in 2007 triomfantelijk aankondigde MVC te hebben uitgevonden was de java wereld al 7 jaar met MVC bezig, en Spring voor .Net al ruim een jaar beschikbaar (nooit echt van de grond gekomen). Je kent MS, die 'vinden' altijd al jarenoude technologie 'uit' :)
Verwijderd @jimshatt10 maart 2017 11:03
maar uhhh de laatste update 2.5.10 is van feb2017.
Da's een beetje hetzelfde als zeggen dat Java oud is omdat de eerste versie in 1994 uitkwam? ;)
Struts-2 heeft toch ook gewoon dependency injection?
Struts-2 heeft toch ondersteuning voor Spring? Dus Struts-2 en Spring leven toch gewoon naast elkaar ?

[Reactie gewijzigd door Verwijderd op 1 augustus 2024 10:26]

jimshatt @Verwijderd10 maart 2017 12:11
Het oudste beroep van de wereld wordt nog steeds uitgeoefend, maar dat maakt het nog niet een 'nieuw' beroep ;)

Zoals ik al zei, het is een prima framework, en het wordt actief onderhouden, maar de basis is al best oud. Ik denk dat rkmuller dat bedoelde. Jij hanteert een andere definitie van 'oud' en dat is ook prima.
latka @rkmuller9 maart 2017 13:49
Probeer struts 1 is zou ik eens zeggen. Ik ken nog een flink aantal oplossingen hiermee die dagelijks door duizenden mensen gebruikt worden. Het upgraden van struts 1 naar iets anders is niet zo eenvoudig en de overstap naar struts 2 is niet erg logisch omdat het niet erg populair is. Rewrite van de code krijg je geen business case voor elkaar dus blijft het struts 1 + pappen en nathouden.
_Tobias @rkmuller9 maart 2017 13:53
Dat verklaart een hoop. Wel bijzonder dat ze er in het artikel van uit gaan dat iedereen dit soort frameworks kent.
rvt1 @_Tobias9 maart 2017 14:21
Aan de andere kant,

iedere tweaker hierzo kan het zo 'googlen'. Ikzelf heb ook niet altijd van de nieuwe framework's gehoord die bv in PHP en Javascript land bekend zijn. Zie bv ook nieuws: Microsoft stopt met sociaal netwerk Socl
Ik denk ook niet dat het niet uitgelegd hoeft te worden..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq