Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apache dicht kritiek lek dat sinds 2008 in Struts zat

Door , 36 reacties, submitter: sjvs

De Apache Foundation heeft Apache Struts een update gegeven waarbij een kritiek lek in het framework is gedicht. Het lek treft alle versies van Struts sinds 2008. Webdiensten als internetbankieren kunnen kwetsbaar zijn. Inmiddels is er ook een exploit voor het lek.

De kwetsbaarheid met aanduiding CVE 2017-9805 stelt aanvallers in staat op afstand willekeurige code uit te voeren op servers die een applicatie draaien die gebouwd is met Struts en die de populaire REST-plugin draaien. Het lek is gevonden door het lgtm-team van Semmle, dat richt zich op analyse van opensourceprojecten. De kwetsbaarheid heeft betrekking op de manier waarop Struts met Xstream deserialisatie toepast op xml-payloads.

Lgtm heeft een exploit ontwikkeld, maar geeft deze niet vrij. Inmiddels is door een derde partij echter ook een exploit gepubliceerd, samen met een module voor Metasploit, een tool die beveiligingsexperts gebruiken voor pentesting. Bedrijven die de update naar Apache Struts 2.5.13 nog niet hebben doorgevoerd, zijn daarmee kwetsbaar voor succesvolle aanvallen.

Lgtm haalt een analist aan die claimt dat 65 procent van de Fortune 100-bedrijven web-applicaties gebruikt die ontwikkeld zijn met het Struts-opensourceframework. Het is echter niet bekend hoeveel daarvan de REST-plugin gebruiken. Volgens Man Yue Mo van het beveiligingsteam van lgtm is het risico op misbruik groot omdat het framework vaak gebruik wordt voor publiekelijk toegankelijke webdiensten: "Struts wordt gebruikt voor meerdere bookingsystemen van luchtvaartmaatschappijen en voor internetbankieren door financiële organisaties." Volgens hem is de kwetsbaarheid eenvoudig te misbruiken en zijn er zelfs meerdere exploits in het wild gesignaleerd. Hij raadt organisaties aan zo snel mogelijk te updaten.

In maart werd ook al voor een kritiek lek in Apache Struts gewaarschuwd. Dit keer zou de kwetsbaarheid lastiger te patchen zijn geweest, aldus een lid van het lgtm-team.

Door Olaf van Miltenburg

Nieuwscoördinator

06-09-2017 • 16:39

36 Linkedin Google+

Submitter: sjvs

Reacties (36)

Wijzig sortering
Metasploit, een tool die beveiligingsexperts gebruiken voor pentesting
En mensen met minder goede bedoelingen...
Metasploit doet enkel maar beveiligingstesten op bekende problemen dus het is niet echt een tool voor echte hackers, echte hackers schrijven modules voor Metasploit.

Het probleem is dat veel IT-ers nog nooit van Metasploit gehoord hebben en niet weten hoe ze het kunnen gebruiken of de informatie verwerken VOOR het een groot probleem wordt.
Leuke contradictie

Metasploit is geen tool voor echte hackers

Echte hackers schrijven metasploit modules

Echte hackers gebruiken metasploit om hun modules te gebruiken.


Hoe dan ook, omdat er een metasploit module beschikbaar is maakt het wat toegankelijker voor mensen om het lek te misbruiken. Immers hoeft men niet zelf meer exploit code te schrijven, dus scheelt het tijd en benodigde kennis.
een tool en de bedoeling zijn 2 losstaande dingen.

Een mes kun je gebruiken om je brood te smeren of met 'andere bedoelingen'.
Lgtm haalt een analist aan die claimt dat 65 procent van de Fortune 100-bedrijven web-applicaties gebruikt die ontwikkeld zijn met het Struts-opensourceframework.
Zoveel nog?!

Toen ik in aanraking kwam met Struts applicaties in mijn jonge ervaring met Java, dacht ik waar ben ik in terecht gekomen ... Gelukkig is er toen besloten alle applicaties weg te migreren van Struts naar betere alternatieven.
Tja, veel legacy applicatie zullen er vast nog wel op draaien. Heb er zelf ook nog wel één onder beheer. Vaak zijn dergelijk applicaties niet zomaar herschreven en zijn de migratie paden richting andere frameworks lang.
Waarschijnlijk om dezelfde reden als dat er achter de schermen nog mainframes met in Cobol geschreven software draaien bij diezelfde grote bedrijven. Heel vroeg heel stevig ingezet in de technologie en ondertussen is het zo'n ingewikkeld systeem geworden dat migratie nauwelijks mogelijk is en op z'n best zeer risicovol is.
Hier de link naar het artikel op Tweakers over het lek dat in maart 2017 werd ontdekt door de security-tak van Cisco.
Dat is volgens mij een ander, CVE komt niet overeen.
Deze is pas van later dit jaar als ik het zo zie.

[Reactie gewijzigd door Johan9711 op 6 september 2017 16:48]

Klopt, dit is een ander lek dan het huidige waar Tweakers vandaag over schrijft. Mijn link gaat over het lek dat in maart 2017 aan het licht kwam. oftewel CVE-2017-5638. Hier de originele blogpost van Talos (de securitytak van Cisco) over het probleem, gedateerd op 8 maart 2017.
Aangezien expliciet bookingsystemen van luchtvaartmaatschappijen genoemd wordt, ben ik zeer benieuwd of dit ook een relatie heeft met http://m.nieuwsblad.be/cn...056138?utm_source=android
laatste regel van dat artikel http://m.nieuwsblad.be/cn...056138?utm_source=android:

Hij hackte in hun systeem en kocht zo alle tickets in een bioscoopzaal zodat een vriend en hij alleen naar de film konden kijken.
Dat is toch niet relevant?
Daarom heb ik het ook uitgelicht, een tweaker leest daar snel overheen omdat het niet relevant is, terwijl deze motivatie van hacken niet vaak voorkomt.
Goed gevonden! Nu snap je reactie.
https://en.wikipedia.org/...nd_closed-source_software
A study was done on seventeen open-source and closed-source software showed that the number of vulnerabilities existing in a piece of software is not affected by the source availability model that it uses. The study used a very simple metrics of comparing the number of vulnerabilities between the open-source and closed-source software.[18] Another study was also done by a group of professors in Northern Kentucky University on fourteen open-source web applications written in PHP. The study measured the vulnerability density in the web applications and shown that some of them had increased vulnerability density, but some of them also had decreased vulnerability density.[19]
Precies! Dus het wordt eens tijd dat al die tens of thousands of eyeballs eens gaan doen waarvoor ze niet betaald worden: code reviewen
Datzelfde magische aura en valse gevoel van veiligheid hangt in even sterke mate rond software met gesloten broncode.
Alleen is daar niet de broncode beschikbaar voor iedereen die duistere bedoelingen heeft.
En ik denk dat maar een klein deel van de gebruikers denkt CSS, dus veilig, terwijl ik de indruk heb dat veel gebruikers van OSS dat wel denkt dat OSS inherent veilig is "omdat iedereen de broncode kan controleren op fouten".
Alleen is daar niet de broncode beschikbaar voor iedereen die duistere bedoelingen heeft.
Ik snap niet helemaal wat je punt hiermee is. De software is namelijk nog steeds beschikbaar voor iedereen met "duistere bedoelingen" en dat de broncode wel beschikbaar is wil niet zeggen dat de software ineens gemakkelijker voor duistere doeleinden is te gebruiken.
En ik denk dat maar een klein deel van de gebruikers denkt CSS, dus veilig, terwijl ik de indruk heb dat veel gebruikers van OSS dat wel denkt dat OSS inherent veilig is "omdat iedereen de broncode kan controleren op fouten".
Ik denk dat dat perceptie is en te maken heeft met de omgeving waar je in zit. Ik heb namelijk exact de omgekeerde indruk. Mensen die hun verstand gebruiken snappen dat in alle software bugs zitten en geen enkel type software inherent veiliger is dan een ander type software.
Ik snap niet helemaal wat je punt hiermee is. De software is namelijk nog steeds beschikbaar voor iedereen met "duistere bedoelingen" en dat de broncode wel beschikbaar is wil niet zeggen dat de software ineens gemakkelijker voor duistere doeleinden is te gebruiken.
Dat het bij OSS wel erg makkelijk is om de broncode op mogelijke exploits te onderzoeken. Zowel door mensen die proberen de fouten te ontdekken om ze te laten patchen als door mensen die proberen de fouten te ontdekken om ze te (laten) misbruiken. Het eerste kost heel veel tijd en moeite en levert behalve een mention in de releasenotes meestal weinig op, terwijl het tweede zeer lucratief is, dus ra ra met welk doeleinde de broncode het vaakst bekeken zal worden.
Als dat waar was dan zouden er veel meer exploits voor open source software in het wild gebruikt worden dan voor close source software en dat is simpelweg niet het geval, de statistieken laten duidelijk zien dat het ongeveer 50/50 is. Veel grote open source projecten hebben inmiddels bug bounty programma's om het voor mensen die naar de code kijken aantrekkelijk te maken om bugs te rapporteren en voor ontwikkelaars om patches te schrijven, net zoals ISV's van closed source software dat vaak hebben. Daarnaast blijkt in de praktijk dat er net zo makkelijk bugs worden gevonden in closed source software als in open source software door de mensen die zich hier mee bezig houden. De methodes zijn waarschijnlijk anders, maar het resultaat is hetzelfde.

Kortom, ik ben het met je eens dat open source niet automatisch meer veiligheid met zich mee brengt, maar als je het argument probeert te maken dat het juist onveiliger wordt omdat de broncode beschikbaar is ben ik het niet met je eens.
Dan zijn we het eens dat we het niet met elkaar eens zijn. :)
Lgtm haalt een analist aan die claimt dat 65 procent van de Fortune 100-bedrijven web-applicaties gebruikt die ontwikkeld zijn met het Struts-opensourceframework.
Verbaast me dat Struts 2 nog zoveel gebruikt wordt. Had verwacht dat bij de overgang van Struts 1 naar WebWorks/Struts2, een hoop zouden afhaken.

Struts web urls eindigen vaak als conventie vaak op .do. Dit levert zo'n 234 miljoen Google hits op. Ter vergelijking, .php levert zo'n 4040 miljoen hits op. Het gaat dus om een enorm aantal.
Bar eigenlijk, het is al jaren algemeen geaccepteerde wijsheid dat je niet moet blootstellen welke technologie je gebruikt dus het eerste wat je zou moeten doen is de extensie herconfigureren en je response headers minimaliseren...
Mwoah. Ongeveer de definitie van security through obscurity. Leuk om de duizend-en-een verschillende kleine/middelgrote sites proberende veredelde script kiddies buiten te houden, maar een vastberaden doortastende aanvaller gaat er niet veel last van hebben.
(nog even afgezien daarvan dat frameworks etc. vaak voldoende vingerafdrukjes achterlaten in het client side gedeelte dat die extensie en response headers je echt niet bijster veel gaan helpen)

Staat het netter? sure. Baat het echt? Ik betwijfel het.
"Bar eigenlijk, het is al jaren algemeen geaccepteerde wijsheid dat je niet moet blootstellen...."
Je reageert alsof ik dat ontken. Ik geef in mij post alleen aan dat Struts veel wordt gebruikt, en hoe je dat zou kunnen herkennen. Of het wel of niet op een extensie zou moeten eindigen is een hele andere discussie.
Ik begrijp dat je zoveel eindgebruikers
niet vooraf per stuk kan waarschuwen
dat deze kwetsbaarheid bestaat.

Maar zou er geen andere manier mogelijk zijn,
dan het zo publiekelijk te doen?

Bovendien is er al huiswerk gedaan voor de criminelen:
"65 procent van de Fortune 100-bedrijven ... metasploit link ... lastig te patchen..."

[gewijzigd: volgorde gefixt]

[Reactie gewijzigd door mistige op 6 september 2017 17:13]

Ook leuk om te vermelden: Semmle /lgtm is (mede) opgericht door een van de beste informatici die Nederland heeft voortgebracht, namelijk Oege de Moor. Een interview met hem zou interessant zijn op Tweakers.
Zo toe maar ! Ga/blijf maar internet bankieren ! :) LOL. (Laten we het maar "WEB" bankieren noemen, dat klinkt wat minder "stevig/veilig" :))

[Reactie gewijzigd door Skybuck op 7 september 2017 02:27]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*