Exploits voor kritiek Apache-gat duiken op

Proof-of-Concept (PoC) code is beschikbaar op developerssite GitHub voor de kritieke kwetsbaarheid (CVE-2018-11776) die afgelopen week is onthuld in Apache Struts. De ontdekking is in april al gemeld aan de makers van Struts. Dat framework voor webapplicaties is kwetsbaar voor RCE-aanvallen (remote code execution). Kwaadwillenden kunnen zonder authenticatie op vatbare systemen eigen code daarop uitvoeren en zo mogelijk toegang verkrijgen tot websites en servers.

Één van de PoC-varianten is mogelijk niet werkbaar op nieuwere versies van Struts, waarin de kwetsbaarheid wel aanwezig is. Dit zou echter een kwestie van tijd en ontwikkelwerk zijn, wat kwaadwillenden naar verwachting wel willen investeren. Tegelijkertijd is het een kwestie van tijd en beheerwerk om de diepgaande kwetsbaarheid af te dekken. Bovendien zijn er nog verschillende andere exploits verschenen. Beheerders moeten dus aan de bak.

Advies: upgraden

De Apache Software Foundation, die toeziet op de ontwikkeling van het Struts-framework, biedt een workaround maar adviseert gebruikers met klem om te upgraden naar een nieuwere release. De afgelopen woensdag uitgebrachte versies 2.3.35 en 2.5.17 zijn niet kwetsbaar. Beide updates voor voorgaande versies in de twee ondersteunde release-reeksen (2.3 en 2.5) bevatten alleen securityfixes en zouden dus geheel compatibel moeten zijn met draaiende Struts-installaties. De opensourcestichting "verwacht geen backwards incompatibility issues". Mogelijk zijn nog oudere versies, die geen ondersteuning genieten, ook kwetsbaar, waarschuwt de Apache-stichting nog.