Aggiornamenti recenti Gennaio 20th, 2021 5:02 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Trend Micro: ecco cosa ci aspetta nel 2021 nel mondo della cyber security
- Kaspersky Automotive IT: focus sulla security nel settore automobilistico
- Chiude Joker’s Stash. Lo shop di carte di credito rubate
- Bug in Windows 10 manda in crash il disco con… un’icona!
- Attacchi a Windows e Android sfruttavano falle zero-day
Grave Bug in Apache Struts 2: il rischio di intrusione è elevato
Apache ha appena rilasciato una patch per una grave falla di sicurezza in Struts 2 che permette l’esecuzione di codice remoto. Aggiornate subito!
Struts è un framework open source molto popolare tra gli sviluppatori di applicazioni Web Java e, di conseguenza, moltissimi servizi aziendali e per privati cittadini hanno del codice che è stato creato su questa piattaforma.
Purtroppo, è stato identificato un bug molto grave che permette l’esecuzione di codice da remoto anche se non sono stati attivati plug-in aggiuntivi.
Lo sfruttamento di questo bug permetterebbe la completa compromissione del sistema attaccato e l’eventuale propagazione della violazione al resto della rete a cui è collegato.
La vulnerabilità è stata catalogata come CVE-2018-11776 ed è già stata risolta da Apache che ha rilasciato la patch nella giornata di ieri, specificando che ne sono affette tutte le versioni di Struts 2 e che l’aggiornamento dovrebbe essere effettuato prima possibile.
Purtroppo, sappiamo bene che questo tipo di appelli cade spesso nel vuoto e sistemi con gravi vulnerabilità già conosciute e patchate da tempo restano online per anni.
A rendere più grave la situazione è che il problema risiede nel linguaggio OGNL (Object-Graph Navigation Language) di Struts che rappresenta il pane quotidiano per moltissimi pirati informatici e quindi risulta particolarmente semplice da sfruttare.
Secondo il ricercatore Yue Mo, questa vulnerabilità è più grave di quella che l’anno scorso ha portato alla compromissione dei sistemi di Equifax perché coinvolge una parte più ampia dell’architettura di Struts.
In una intervista su Threatpost, il ricercatore Tim Mackey di Synopsys dice che alla base di questo bug c’è una insufficiente validazione degli URL che vengono passati al framework e che mentre nella falla dello scorso anno ci si trovava di fronte a un problema presente in una singola area delle funzionalità di Struts, che quindi era più semplice isolare senza toccare le altre funzioni, qui il problema è a un livello più profondo.
L’articolo completo riporta un’analisi molto interessante di come funziona la vulnerabilità, ma prima di andare a leggerlo, aggiornate i sistemi.
Condividi l'articolo
Vulnerabilità critiche in Ghostscript. E non c’è ancora la patch…
Conti correnti italiani nel mirino dei criminali: partita una nuova campagna
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Deepfake: come possono difendersi le aziende? L’utilizzo di app basate su algoritmi di AI per la... -
Check Point: dopo il Covid il rischio è una pandemia cyber Il nuovo scenario del panorama IT delinea priorità e... -
Il Perimetro di sicurezza cibernetica: la lunga strada per... Cosa significa la sua istituzione, come è stato... -
La crittografia è diventata una priorità Lo dice il Thales Data Threat Report 2020. Le aziende... -
WatchGuard acquisisce Panda Security: cosa significa? Dopo aver manifestato l’intenzione di acquisire Panda...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Trend Micro: ecco cosa ci aspetta nel 2021 nel mondo della... La società di sicurezza ha pubblicato le previsioni per... -
Kaspersky Automotive IT: focus sulla security nel settore... La società di sicurezza espande i suoi servizi al... -
Chiude Joker’s Stash. Lo shop di carte di credito rubate L’addio è previsto per il prossimo 15 febbraio e il... -
Bug in Windows 10 manda in crash il disco con… La falla di sicurezza provoca un errore che corrompe il... -
Attacchi a Windows e Android sfruttavano falle zero-day Il report di Google esamina le tecniche di un gruppo...
Trend Micro: ecco cosa ci aspetta nel 2021 nel mondo della cyber security
La società di sicurezza ha pubblicato le previsioni per il... Continua →
Vocabolario della sicurezza
