Peligro para los usuarios del marco de código abierto Apache Struts para agilizar el desarrollo de aplicaciones web Java EE. Muy extendida en las empresas, pero también en las administraciones, esta última se vio afectada por una vulnerabilidad identificada como crítica (CVE-2023-50164). La falla RCE (ejecución remota de código) afecta a las versiones de Struts 2.0.0 a 2.3.37 (fin de vida), 2.5.0 a 2.5.32 y 6.0.0 a 6.3.0. En respuesta, la fundación Apache que gestiona este proyecto publicado actualiza 6.3.0.2 y 2.5.33 para resolver este grave problema de seguridad. Si se cumplen todas las condiciones de explotación, un ciberdelincuente puede descargar archivos maliciosos y realizar la ejecución remota de código en un servidor de destino. Esto significa modificar archivos confidenciales, robar datos, interrumpir servicios críticos o realizar movimientos laterales dentro de la red.

Apache identificó esta vulnerabilidad el 7 de diciembre y las actualizaciones posteriores se aplicarán lo antes posible. El momento de aplicación de estas actualizaciones se volvió preocupante cuando se realizó una PoC de exploit. publicado por un investigador de seguridad el 10 de diciembrepor lo tanto, ofrece una gran oportunidad para que los piratas informáticos refinen su exploit en sistemas no actualizados. Y sucedió lo que tenía que pasar: según la plataforma de análisis de amenazas servidor de sombrasSegún se informa, los piratas informáticos han comenzado a ponerse a trabajar y los investigadores han observado que una pequeña cantidad de direcciones IP participan en intentos de explotación.

Cisco sobre la brecha para identificar sus productos vulnerables

Además en un boletín de seguridadCisco dice que está investigando CVE-2023-50164 para determinar qué productos que utilizan Apache Struts podrían verse afectados y en qué medida. Y podría haber muchos de ellos: plataforma de colaboración con el cliente (anteriormente SocialMiner), motor de servicios de identidad, registrador de Prime Access, colaboración y aprovisionamiento, administrador de licencias y catálogo de servicios), servicio de objetos de integración de telefonía informática, administrador de comunicaciones unificadas, centro de inteligencia unificada... .