Geschreven door: Stefanie Weber

Veiligheid begint bij bewustzijn. Daarom neemt Networking4all één keer per maand een nieuwe vulnerability onder de loep en geven we advies over het voorkomen of genezen ervan.

Wat is het: CVE-2017-9805
Apache Struts is een populair open-source framework waarmee Java web applicaties kunnen worden gecreëerd, gedistribueerd, en onderhouden. Op 4 september werd dankzij een onderzoeksteam van de security research website lgtm.com bekend dat er een ernstig beveiligingslek zat in Apache Struts. Elke applicatie die de REST plugin gebruikte van het framework stond namelijk wagenwijd open voor remote code executions.

Het probleem werd veroorzaakt door een fout in het afhandelen van geserialiseerde code. Dit proces wordt gebruikt om objecten om te zetten tot een gestandaardiseerd stukje code zodat het verzonden of opgeslagen kan worden. Om het object daarna weer te kunnen gebruiken, moet het gedeserialiseerd worden. Dit proces kon worden misbruikt, door een geserialiseerd object te creëren dat niet goed weer kon worden teruggeleid naar een correct object, of dat de code die het deserialiseren van het object afhandelt, de controlestappen voor het type object liet overslaan. Nadat de code misbruikt was, kon de hacker eenvoudig remote code executions uit laten voeren, waardoor gevoelige data op de server gemakkelijk uitgelezen kon worden.

Omdat Apache Struts, zeker in combinatie met de REST plugin, door duizenden applicaties gebruikt wordt, waarvan verreweg de meeste publiek toegankelijke toepassingen zijn, was deze kwetsbaarheid een zeer gevaarlijke. Zo wordt Apache Struts gebruikt door banken, telefoonmaatschappijen en vliegtuigmaatschappijen. Wanneer een kwetsbaarheid als deze gebruikt zou worden op een applicatie van dergelijk formaat, zouden gevoelige gegevens van duizenden tot miljoenen klanten in gevaar kunnen komen.

Wat kunt u doen?
Het research team van LGTM heeft de kwetsbaarheid onmiddellijk bekend gemaakt bij het team van Apache Struts, die een security patch hebben ontwikkeld. Het is dus van groot belang dat u zo snel mogelijk uw framework update naar versies 2.3.34 of 2.5.13. De LGTM-researchers hebben aangegeven dat het hoogst onwaarschijnlijk was dat er op het moment van bekendmaken een exploit was voor deze vulnerability, maar dat die kans inmiddels wel is toegenomen.

Hoe belangrijk het wel niet kan zijn om uw software zo snel mogelijk te updaten naar de nieuwste versie werd onlangs op een extreem pijnlijke manier duidelijk. Het Amerikaanse bedrijf Equifax gaf in september aan dat een hack van hun systemen, waarbij de gegevens van 143 miljoen mensen op straat kwamen te liggen, mogelijk was geweest omdat ze de security patches van hun Apache Struts framework niet hadden geïnstalleerd. Hoewel eerst nog beweerd werd dat het deze REST-plugin vulnerability was die de hack had veroorzaakt, gaf Apache na intern onderzoek zelf aan dat Equifax een security update, die al in maart was uitgegeven voor een andere vulnerability, simpelweg had genegeerd.

Qualys WAS
Qualys heeft twee Web Application Security modules ontwikkeld die samen uw server kunnen beschermen tegen de laatste beveiligingslekken. De Web Application Scanning module scant uw applicatie op bekende en recente veiligheidslekken zoals in de OWASP Top Ten zijn opgenomen. Wanneer de WAS een beveiligingsprobleem ontdekt, kan met de module Web Application Firewall onmiddellijk actie worden ondernomen. Door middel van virtuele patches kan het lek meteen worden gedicht, en loopt uw applicatie niet langer direct gevaar. Dit geeft u de tijd om uw software te patchen, of het probleem op te lossen.

Wilt u meer weten over de mogelijkheden die het Qualys Cloud Platform u kunt bieden? Neem dan contact op met één van onze consultants via sales@networking4all.com.


Deel artikel via: