尽快升级!攻击者试图利用Apache Struts漏洞CVE-2023-50164

CVE-2023-50164 是 Apache Struts 2 中最近修补的路径遍历漏洞，攻击者正试图利用 CVE-2023-50164 的公共漏洞利用证明 (PoC) 漏洞利用代码。

近日，管理 Struts 库的 Apache 基金会敦促开发人员应用补丁来解决导致路径遍历攻击的缺陷，该缺陷允许访问 Web 服务器上攻击者不应访问的其他目录，并且在某些情况下能够上传恶意文件以进行远程代码执行。该漏洞被跟踪为 CVE-2023-50164，CVSS 评分为 9.8 分(满分 10 分)。

Apache Struts 是一个用于开发 Java EE Web 应用程序的开源框架。全球多家公司包括财富100强企业和政府组织都在使用。

“攻击者的目标是部署 webshell，在某些情况下针对参数'fileFileName'——这与原始漏洞利用 PoC 的偏差，”网络威胁情报公司的安全情报小组表示。

Shadowserver基金会也开始注意到他们的传感器中的漏洞利用尝试，但未看到成功利用。

专家表示，利用这一安全漏洞可能导致攻击者修改敏感文件、数据盗窃、服务中断甚至在网络内横向移动。

另一所网络安全公司表示，对 CVE-2023-50164 的利用涉及几个先决条件，具体取决于使用 Apache Struts 的应用程序的行为和实现。“攻击者很难大规模扫描和利用这个漏洞，”该公司称。

漏洞影响版本

Source Incite安全人员报告CVE-2023-50164，通过操纵文件上传参数实现路径遍历，并且在某些情况下，可能允许攻击者上传可用于实现远程代码执行的恶意文件。

该漏洞影响 Apache Struts 版本：

2.0.0 到 2.5.32

6.0.0 到 6.3.0.1

2.0.0 到 2.3.37(不再受支持)

目前已经在Apache Struts 2.5.33和6.3.0.2版本中进行了修复，Struts 2的开发人员和用户已经被敦促尽快升级。

PoC 漏洞利用代码已公开

12月12日，该漏洞的分析和复制已经发布，作者指出:“这个漏洞需要根据不同的场景产生不同的POC，因为如果在文件上传点进行严格的拦截和检查，将很难绕过。”

GreyNoise的检测工程师发表分析指出，Apache Struts嵌入在各种企业级应用程序中，并指出“虽然[研究人员]已经证明你可以将任意shell.jsp或webshell拖放到Apache Struts2到Web应用程序中(...)但被删除的shell.jsp文件必须位于攻击者可以远程访问的有效路由中，才能被触发。”这在不同的web应用程序中会有所不同。

参读链接：

https://www.inforisktoday.com/hackers-exploiting-critical-apache-struts-flaw-a-23892

https://www.helpnetsecurity.com/2023/12/14/poc-exploit-cve-2023-50164/