Apache ha emitido un parche para una vulnerabilidad de ejecución remota de código (RCE) en Struts 2, una popular herramienta de desarrollo web, que recibió una calificación de gravedad crítica. La vulnerabilidad, identificada como CVE-2024-53677, obtuvo un puntaje de 9.5 en el marco CVSSv4 y 9.8 en CVSSv3, subrayando la gravedad del problema.
Esta vulnerabilidad permite a atacantes remotos, sin necesidad de privilegios, manipular parámetros de carga de archivos para ejecutar código malicioso. Dado el potencial impacto en la confidencialidad, integridad y disponibilidad de los sistemas, la Fundación Apache optó por retrasar la publicación de detalles técnicos, dando tiempo a los usuarios para actualizar a versiones seguras (Struts 6.4.0 o superior).
¿Qué Versiones Están Afectadas?
Las versiones vulnerables incluyen:
- Struts 2.0.0 a 2.3.37 (fin de soporte)
- Struts 2.5.0 a 2.5.33
- Struts 6.0.0 a 6.3.0.2
Es importante destacar que las aplicaciones que no usan el componente File Upload Interceptor (obsoleto desde la versión 6.4.0 y eliminado en la 7.0.0) no están afectadas. Sin embargo, las que lo utilizan deben actualizar a Action File Upload Interceptor para eliminar la exposición al ataque.
Sin Soluciones Temporales: Parchear o Nada
A diferencia de otras vulnerabilidades, no existe un método alternativo o solución temporal para CVE-2024-53677. Apache enfatizó que mantener el mecanismo antiguo de carga de archivos equivale a seguir siendo vulnerable. Además, la actualización requiere un esfuerzo adicional: los usuarios deben reescribir las acciones en sus aplicaciones para garantizar la compatibilidad con el nuevo mecanismo de carga de archivos.
Lecciones Aprendidas del Caso Equifax
Este fallo recuerda al incidente de 2017 en el que una vulnerabilidad en Struts fue explotada, provocando la brecha de datos de Equifax. Este evento, considerado “totalmente evitable”, afectó a millones de usuarios y resultó en sanciones millonarias para la compañía.
La historia se repite: Struts 2 sigue siendo ampliamente utilizado, con aproximadamente 300,000 descargas mensuales, de las cuales 80% incluyen versiones vulnerables.
Vulnerabilidades en Apache Struts: Un Riesgo Persistente
El fallo CVE-2024-53677 es el último de una serie de vulnerabilidades críticas en Struts 2. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha identificado ocho vulnerabilidades en Struts como conocidas y explotadas, siete de las cuales pueden conducir a RCE.
Recomendaciones para los Usuarios
- Actualización Inmediata: Actualice a Struts 6.4.0 o superior lo antes posible.
- Reescritura de Acciones: Asegúrese de migrar al nuevo componente Action File Upload Interceptor para evitar vulnerabilidades persistentes.
- Monitoreo y Parches Continuos: Implemente prácticas de gestión de vulnerabilidades para identificar y abordar riesgos en su stack de aplicaciones.
- Auditorías de Dependencias: Revise regularmente las bibliotecas utilizadas en los proyectos para evitar versiones obsoletas o con fallos críticos.
Conclusión
CVE-2024-53677 subraya la importancia de mantener las herramientas de desarrollo web actualizadas y seguras. Los desarrolladores y administradores deben priorizar la aplicación de parches y reestructuración de mecanismos vulnerables para prevenir incidentes mayores, como los que marcaron la historia con Equifax.