framework is gedicht. Het lek treft alle versies van Struts sinds 2008. Webdiensten als internetbankieren kunnen kwetsbaar zijn. Inmiddels is er ook een exploit voor het lek.

De Apache Foundation heeft Apache Struts een update gegeven waarbij een kritiek lek in het 

De kwetsbaarheid met aanduiding CVE 2017-9805 stelt aanvallers in staat op afstand willekeurige code uit te voeren op servers die een applicatie draaien die gebouwd is met Struts en die de populaire REST-plugin draaien. Het lek is gevonden door het lgtm-team van Semmle, dat richt zich op analyse van opensourceprojecten. De kwetsbaarheid heeft betrekking op de manier waarop Struts met Xstream deserialisatie toepast op xml-payloads.

Lgtm heeft een exploit ontwikkeld, maar geeft deze niet vrij. Inmiddels is door een derde partij echter ook een exploit gepubliceerd, samen met een module voor Metasploit, een tool die beveiligingsexperts gebruiken voor pentesting. Bedrijven die de update naar Apache Struts 2.5.13 nog niet hebben doorgevoerd, zijn daarmee kwetsbaar voor succesvolle aanvallen.

Lgtm haalt een analist aan die claimt dat 65 procent van de Fortune 100-bedrijven web-applicaties gebruikt die ontwikkeld zijn met het Struts-opensourceframework. Het is echter niet bekend hoeveel daarvan de REST-plugin gebruiken. Volgens Man Yue Mo van het beveiligingsteam van lgtm is het risico op misbruik groot omdat het framework vaak gebruik wordt voor publiekelijk toegankelijke webdiensten: "Struts wordt gebruikt voor meerdere bookingsystemen van luchtvaartmaatschappijen en voor internetbankieren door financiële organisaties." Volgens hem is de kwetsbaarheid eenvoudig te misbruiken en zijn er zelfs meerdere exploits in het wild gesignaleerd. Hij raadt organisaties aan zo snel mogelijk te updaten.

In maart werd ook al voor een kritiek lek in Apache Struts gewaarschuwd. Dit keer zou de kwetsbaarheid lastiger te patchen zijn geweest, aldus een lid van het lgtm-team.

Bron: Tweakers.net