Уязвимость в Apache Struts позволяет получить полный контроль над веб-сервером

Уязвимость в Apache Struts позволяет получить контроль над веб-сервером

Компания Digital Security, объявила об обнаружении опасной уязвимости в Apache Struts, Java-фреймворке с открытым исходным кодом. Уязвимость была найдена некоторое время назад Такеши Терада(Takeshi Terada) из Mitsui Bussan Secure Directions, а теперь активно эксплуатируется китайскими хакерами.

Как рассказали CNews в компании, фреймворк Apache Struts сегодня очень распространен. Он не только используется для построения крупных веб-сайтов, но и является частью приложений корпоративного уровня. Кроме того, Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют Qiwi, «Альфа-Банк».

«16 июля было опубликовано описание очень серьезной уязвимости в Struts 2, приводящей к удаленному выполнению произвольного кода на сервере. Уже в последующие дни был создан эксплойт под данную уязвимость, и началась массовая волна атак, в основном из Китая, на различные компании, — сообщили в Digital Security. — По имеющейся информации, нападениям подверглись, например, компании Apple, Nokia и Samsung с отмеченными случаями успешного проникновения. Российские подразделения этих корпораций, а также различные финансовые организации тоже были атакованы».

По словам специалистов Digital Security, основная опасность новой уязвимости Apache Struts в том, что она, во-первых, очень просто эксплуатируется, во-вторых, не требует аутентификации в системе и, главное, ей подвержены все продукты второй ветки Struts, для которых не установлено последнее обновление. Таким образом, если злоумышленник подключится к веб-серверу со Struts 2 без соответствующего патча, он может захватить полный контроль над веб-сервером. «Самое неприятное в том, что процесс поиска и эксплуатации уязвимости уже автоматизирован», — подчеркнули в компании, пишет safe.cnews.ru.

«У многих Java-разработчиков создается ложное представление о безопасности продуктов, написанных на Java. Конечно, в Java внедрены различные механизмы защиты, и уязвимости типа “переполнение буфера” им не опасны. Но многие разработчики даже не представляют, что имеется возможность для эксплуатации уязвимостей в веб-приложении, которые могли бы привести к таким последствиям, как удаленное выполнение произвольного кода на сервере», — указал Алексей Тюрин, директор департамента аудита Digital Security.

Между тем, это далеко не первая такая опасная уязвимость. Например, Медер Кыдыралиев (Meder Kydyraliev) из Google в 2011 г. также нашел несколько уязвимостей в Struts 2, которые приводили к удаленному выполнению кода, отметили в Digital Security. По причине того, что многие компании не осведомлены о возможных проблемах и о том, что существует возможность атаки через уязвимости в фреймворке, злоумышленники могут плавно проникать в системы и закрепляться там.

«Сейчас эксплуатация уязвимостей в Struts не представляет большого труда для продвинутых хакеров. Поэтому необходимо в самом оперативном режиме установить обновления на ваши Struts 2. Перед установкой нужно убедиться, что в вашу систему не было совершено проникновение», — порекомендовал Алексей Тюрин. 

Беззубый закон: Касперская раскритиковала регулирование ИИ в нынешнем виде

Президент группы компаний InfoWatch Наталья Касперская раскритиковала законопроект об искусственном интеллекте, который Госдума приняла в первом чтении. В интервью Бизнес ФМ она заявила, что в нынешнем виде документ выглядит беззубым и не решает ключевые риски, ради которых, по её словам, его изначально и обсуждали.

Касперская напомнила, что сначала речь шла о регулировании опасных сценариев применения ИИ: например, о ситуациях, где нейросети могут галлюцинировать, давать неверные ответы и влиять на чувствительные сферы.

Тогда логичный вопрос: кто несёт ответственность за последствия. Но теперь, по её мнению, законопроект скорее предписывает использование технологии, чем ограничивает вредные применения.

Отдельно она прошлась по теме авторских прав. По словам Касперской, если закон фактически позволит использовать чужие произведения для обучения ИИ без нормальной компенсации авторам, это станет серьёзной проблемой и может конфликтовать с Гражданским кодексом.

Она не согласилась с аргументом, что человек тоже читает книги и обучается на чужом творчестве. Разница, по её словам, в том, что человек покупает книгу и получает право пользоваться контентом, а ИИ может один раз взять произведение, затем бесконечно размножать похожий результат и лишить автора заработка. Касперская назвала это технологичным совершенствованием пиратства.

Ещё одна претензия — попытка закрепить в законе конкретные технологии. В документе, например, говорится о больших фундаментальных моделях, но ничего не сказано об ИИ-агентах. По мнению Касперской, это странный подход: технологии быстро меняются, и закон может устареть быстрее, чем его успеют дописать.

Разработчики законопроекта ранее говорили, что он носит рамочный характер, а спорные вопросы будут регулироваться подзаконными актами. Минцифры обещало представить первые документы уже к осени, в том числе по теме авторских прав. Но пока, судя по реакции Касперской, у индустрии вопросов к этому ИИ-регулированию больше, чем ответов.

RSS: Новости на портале Anti-Malware.ru