La vulnerabilidad descubierta a principios de año en Apache Struts, utilizada ampliamente en el desarrollo de aplicaciones web, está siendo el origen de infinidad de ataques a organizaciones de todo el mundo, incluida España.
En InnoTec, Grupo Entelgy, hemos observado en el último mes un incremento preocupante de las acciones que aprovechan esta vulnerabilidad para acceder a los sistemas de las víctimas, escalar privilegios y propagarse dentro de cada organización. Identificar todas las aplicaciones web que contengan este componente y actualizar a las nuevas versiones de Apache Struts, son los pasos básicos para atajar el problema de forma momentánea. No obstante, para acometer una política de seguridad a largo plazo, convendría disponer de un sistema de copias de seguridad, limitar los privilegios del usuario y, sobre todo, anticiparse y aplicar medidas de prevención, como auditorías periódicas y sistemas de monitorización que detecten las amenazas y vulnerabilidades antes de ser explotadas.
Compañías multinacionales de tecnología y software de la talla de Cisco y VMware, y otro tipo de organismos de relevancia, como CRA (Canada Revenue Agency), han reconocido públicamente haber detectado ataques que han conseguido explotar las vulnerabilidades dentro de sus aplicaciones o sitios web programados con Struts. Y esto es sólo la punta del iceberg ya que el número de organizaciones que pueden ser objetivos potenciales de los ciberataques es extremadamente alto.
Índice de temas
¿Por qué la vulnerabilidad Struts es tan peligrosa?
Para explicar por qué esta vulnerabilidad ha tenido un alcance tan amplio es necesario entender el uso extendido de Apache Struts en el desarrollo de aplicaciones y sitios web. Struts es un entorno de trabajo libre muy empleado entre los desarrollos de software Java que permite construir sitios web y aplicaciones de forma ágil y acceder fácilmente a componentes para añadir nuevas funcionalidades. Precisamente su accesibilidad y sencillez han sido factores clave para convertirlo en uno de los entornos de código abierto más populares en la creación de aplicaciones comerciales.
El número de organizaciones que pueden ser objetivos potenciales de los ciberataques es extremadamente alto
Como en los casos de otras vulnerabilidades que afectan a componentes muy extendidos, los ciberatacantes intentan aprovecharse de esta debilidad y acceder a múltiples sistemas a través de ella; es decir, explotarla masivamente. Y lo hacen antes de que las organizaciones se hayan percatado de la vulnerabilidad y actualicen todas las aplicaciones que pueden estar en riesgo. De hecho, otras vulnerabilidades de alcance similar han seguido siendo explotadas durante años sin que nadie actualice el software utilizado.
A la multiplicidad de objetivos de ataque se suma, además, la facilidad para explotar Struts. Con una simple solicitud web al servidor se puede tomar el control de la aplicación. Sin necesidad de comprobar la identidad del usuario, los ciberatacantes pueden acceder al sistema con privilegios, incluso, del administrador, si así está configurada la aplicación.
Los ataques que intentan explotar esta vulnerabilidad, en la mayoría de los casos, tienen dos objetivos claros: difundir malware y buscar otros puntos débiles que permitan ganar acceso a más privilegios y, por tanto, un mayor control de los sistemas y dispositivos de las organizaciones.
¿Qué hacer para protegerse?
Ante cualquier tipo de ataque que pueda explotar esta vulnerabilidad, la principal acción que las organizaciones deben llevar a cabo es la identificación de todas las aplicaciones web que contengan componentes de Apache Struts y actualizarlas a las versiones 2.3.32 o 2.5.10.1. Conviene revisar los accesos del usuario que trabaja con Struts (si se han creado ficheros, carpetas o procesos con dicho usuario) y si se han creado páginas web en el servidor fuera del uso normal. Además, con la finalidad de prevenir y paliar las consecuencias de futuros ataques, también es recomendable que las empresas dispongan de un sistema de copias de seguridad adecuado y actualizado periódicamente y limitar los privilegios del usuario que ejecuta la página web con Apache Struts.
Pese a las alertas y recomendaciones del sector de la ciberseguridad, tanto desde organismos públicos, como de empresas privadas, es muy probable que los ataques que explotan la vulnerabilidad Struts sigan con nosotros durante mucho tiempo. Y ello es debido a la gestión deficiente de la ciberseguridad que se hace en muchas organizaciones. Entender la ciberseguridad de forma reactiva, actuando solo cuando sucede un problema, es desgraciadamente una tónica demasiado repetida. Es necesario anticiparse, contar con medidas de prevención, como las auditorías periódicas y la implementación de sistemas de monitorización para detectar amenazas y vulnerabilidades antes de que puedan ser explotadas. De este modo, conseguiremos, no solo mayor eficacia, sino, sobre todo, un ahorro de costes mucho mayor.