Beveiligingsadvies NCSC-2024-0492 [1.00] [M/H] Kwetsbaarheid verholpen in Apache Struts

Belangrijke Update: Kwetsbaarheid in Apache Struts Opgelost

Het Nationaal Cyber Security Centrum (NCSC) heeft een belangrijke beveiligingsupdate uitgebracht met betrekking tot een kritieke kwetsbaarheid in Apache Struts. Hieronder volgt een uitgebreide toelichting en handleiding rond deze kwestie.

Overzicht van de Kwetsbaarheid

Apache Struts is een veelgebruikt framework voor het bouwen van webapplicaties in Java. Er is een kwetsbaarheid ontdekt in de bestanduploadfunctionaliteit van Apache Struts, specifiek in versies vanaf 2.0.0 tot net voor 6.4.0. Deze kwetsbaarheid kan aanvallers in staat stellen om willekeurige code uit te voeren op geïnfecteerde systemen, met potentieel grote gevolgen voor organisaties die afhankelijk zijn van deze technologie.

Risico-inschatting

  • Kans van exploitatie: Medium
  • Mogelijke schade: Hoog

Waarbij ‘medium’ betekent dat er een redelijke kans bestaat dat de kwetsbaarheid kan worden misbruikt, en ‘hoog’ de aanzienlijke impact aangeeft die het kan hebben op systemen die draaien op de getroffen versies.

Technische Details

De kwetsbaarheid omvat verschillende beveiligingsproblemen:

  • Onbeheerde upload van gevaarlijke bestandstypes: Hierdoor kunnen ongewenste bestanden worden geïmporteerd die de beveiliging van het systeem in gevaar brengen.
  • Toegang van bestanden of mappen voor externe partijen: Hierdoor kan ongeautoriseerde toegang tot gevoelige data plaatsvinden.
  • Onvoldoende beperking van padnamen tot veilige directories (‘Path Traversal’): Dit stelt aanvallers in staat om te navigeren door directory’s met potentieel vertrouwelijke informatie.

Oplossingen

Om deze kwetsbaarheid te mitigeren, heeft Apache updates uitgebracht die de beveiligingsproblemen aanpakken. Gebruikers van Apache Struts worden ten zeerste aangeraden om hun systemen bij te werken naar de nieuwste release. Meer details over de updates zijn te vinden in de bijgevoegde referenties en deze link.

Betrokken CVE

De kwetsbaarheid is geregistreerd onder de CVE-nummering:

  • CVE-2024-53677, waarbij uitgebreide technische specificaties en implicaties te vinden zijn.

Vrijwaring

Door gebruik te maken van deze security advisory accepteert u de volgende voorwaarden. Hoewel het NCSC zorgvuldig werkte aan de samenstelling van dit beveiligingsrapport, is er geen garantie voor volledigheid, nauwkeurigheid of voortdurende actualiteit ervan. Het advies is bedoeld als algemene informatie voor professionele gebruikers, zonder rechten te ontlenen aan de inhoud. Het NCSC en de Staat zijn niet verantwoordelijk voor eventuele schade voortvloeiend uit het gebruik of het niet kunnen gebruiken van dit beveiligingsadvies. Nederlands recht is van toepassing, en geschillen worden voorgelegd aan de bevoegde rechter in Den Haag.

Dit beveiligingsadvies is ontworpen om organisaties te helpen bij het begrijpen en oplossen van deze kritieke kwetsbaarheid en hen te beschermen tegen mogelijke aanvallen. Het updaten van getroffen systemen is absoluut cruciaal om de beveiliging van uw IT-infrastructuur te waarborgen.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----