Image by Mohamed Hassan from Pixabay

Alerta: nova falha crítica no Apache Struts 2

Uma vulnerabilidade crítica no Apache Struts 2, identificada como CVE-2024-53677, está sendo explorada ativamente por invasores que utilizam exploits públicos para localizar e comprometer dispositivos vulneráveis. O Apache Struts, amplamente utilizado por agências governamentais, empresas financeiras e grandes plataformas digitais, é uma estrutura de código aberto para desenvolvimento de aplicações web em Java. Em 2017, uma falha no Apache Struts levou ao vazamento de registros de 143 milhões de pessoas na Equifax, nos Estados Unidos.

Leia também
I.A. já é foco de 10% dos ethical hackers
Alemanha recomenda Wi-Fi separado para IoT

A falha, com pontuação de gravidade 9,5 no CVSS 4.0, foi divulgada há menos de uma semana e está relacionada a um problema na lógica de upload de arquivos. Segundo o boletim de segurança da Apache, a vulnerabilidade permite a travessia de caminho e o upload de arquivos maliciosos, possibilitando a execução remota de código (RCE). A falha afeta as versões do Struts 2.0.0 a 2.3.37 (descontinuadas), 2.5.0 a 2.5.33, e 6.0.0 a 6.3.0.2.

Pesquisadores já detectaram tentativas de exploração da falha, com invasores utilizando scripts maliciosos para testar a vulnerabilidade de servidores. Uma das táticas observadas envolve o upload de um arquivo denominado “exploit.jsp”, que verifica a presença da vulnerabilidade imprimindo a string “Apache Struts”. Essa atividade, até agora rastreada a um único endereço IP (169.150.226.162), sugere uma fase inicial de enumeração antes de ataques mais avançados.

O Apache aconselha os usuários a atualizarem imediatamente para a versão 6.4.0 ou posterior e adotarem o novo mecanismo de upload de arquivos. Apenas aplicar patches não resolve o problema por completo, já que é necessário reescrever o código de upload para utilizar a nova funcionalidade de forma segura. Continuar com o antigo mecanismo mantém os sistemas vulneráveis.

Diante da exploração ativa, agências de segurança cibernética de países como Canadá, Austrália e Bélgica emitiram alertas pedindo medidas imediatas por parte dos desenvolvedores. O caso reflete desafios recorrentes no Apache Struts, que no passado já sofreu com correções incompletas de falhas semelhantes, como a CVE-2023-50164. A situação ressalta a importância de atualizações rápidas e revisões robustas de segurança no ambiente corporativo.