Nueva vulnerabilidad día cero descubierta en Apache Struts

Investigadores de Talos, una empresa de seguridad de Cisco, han descubierto una vulnerabilidad día cero (CVE-2017-5638) que está siendo activamente usada por los ciberdelincuentes en la famosa aplicación Apache Struts.

El problema reside en el interprete (parser) Jakarta Multipart de Apache Struts que puede permitir a un atacante ejecutar código remoto en el servidor cuando carga ficheros en el interprete. Los detalles técnicos sobre CVE-2017-5638 se encuentra en la web de GitHub Rapid7’s Metasploit Framework.

Apache ya ha publicado un parche que soluciona este problema. Si usas Jakarta en Apache Struts 2, debes actualizarlo inmediatamente a las versiones de Apache Struts 2.3.32 o 2.5.10.1.

Los investigadores de Talos han encontrado pruebas de que los ciberdelincuentes estaban usando activamente esta vulnerabilidad para infectar servidores con malware. En algunos caso simplemente intentaban ver si las posibles víctimas eran vulnerables a este problema.

En otros consiguieron descargar distintas clases de malware en los servidores atacados. Incluso intentaron modificar la rutina de arranque de algunos para ganar persistencia y saltarse el firewall.

Tanto los investigadores de Talos como los de Apache recomiendan a todos los administradores que actualicen sus sistemas a la versiones 2.3.32 o 2.5.10.1 de Apache Struts. También pueden utilizar otras alternativas para Jakarta.

Una vez más este tipo de vulnerabilidades muestra la importancia de mantener actualizados nuestros equipos. Si somo administradores informáticos, esta debe ser una de nuestras prioridades.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: