Apache’de Güvenlik Açığı

Geçtiğimiz Cuma günü Cisco, kendi ürünlerinin bir kısmının CVE-2017-5638 olarak adlandırılan Apache Struts 2 komut çalıştırma açığından etkilendiğini açıkladı.

Bahsi geçen CVE-2017-5638 uzaktan kod çalıştırma açığı kötü niyetli kişiler tarafından kullanılmaya başlandı. Açığın etkilediği sürümler: Struts 2.3.5’ten 2.3.31’e kadar ve Struts 2.5’ten 2.5.10’a kadar bütün sürümler.

Cisco Talos araştırmacılarının yaptığı açıklamaya göre bu açık Apache Struts 2’nin altında bulunan Multipart parserine Jakarta tabanlı dosya yüklemeyi etkiliyor.

Tinfoil Güvenlik firması kullanıcıların kendi web sitelerinin bu açığa karşı savunmasız olup olmadığını kontrol edebilmeleri için çevrimiçi bir araç yayınladı. Araca ulaşmak için buraya tıklayın.

Bu sorun ilk olarak Çinli geliştirici Nike Zheng tarafından tespit edildi. Rapid7’in GitHub sayfasında bahsi geçen sorun belgelenmiştir ve bu belgede bulunan PoC (proof of concept) sayesinde kötü niyetli kişiler bu sorundan faydalanmaktadır.

Cisco kendi servisleri/ürünleri olan Cisco Identity Services Engine (OSE), Prime Service Catalog Virtual Appliance ve Unified SIP Proxy Software’in bu güvenlik açığından etkilendiğini açıkladı.

image-apache-struts-2

Cisco etkilenen ürünlerinin yanı sıra etkilenmeyen ürünlerinin de uzunca bir listesini yayınladı fakat uzmanlar hala potansiyel güvenlik açığı oluşturabilecek ürünleri ve servisleri de inceliyor.

Güvenlik açığının PoC’u yayınladığından beri kötü niyetli saldırganlar bunu kullanarak saldırılar gerçekleştirmeye başladı. Uzmanlara göre bu saldırıların büyük bir kısmı Çin’in Şangay şehrinden geliyor.

CVE-2017-5638 sorununu daha yakından incelemek ve nasıl kullanılacağını öğrenmek için Rapid7’nın GitHub sayfasını ziyaret edebilirsiniz.