В ПО российских банков найдена критическая уязвимость

Александр Панасенко 28 Апреля 2014 - 17:08

...

В популярном решении Apache Struts найдена критическая уязвимость «нулевого дня». Она позволяет злоумышленникам, манипулируя параметрами ClassLoader, выполнять на сервере с запущенным программным обеспечением Struts произвольный код.

Apache Struts - инструмент для разработчиков, фреймворк с открытым исходным кодом, предназначенный для создания веб-приложений на основе Java.

«Фреймворк Apache Struts сегодня очень распространен. Он не только используется для построения крупных веб-сайтов, но и является частью приложений корпоративного уровня. Кроме того, Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют некоторые ведущие российские финансовые организации», - прокомментировали CNews новость об уязвимости в ИБ-компании Digital Security.

Обновление Apache Struts 2.3.16.2, устраняющее уязвимость в компоненте ClassLoader, разработчики Apache Struts выпустили в конце минувшей недели, 24 апреля 2014 г.

«Платежный сервис Qiwi применяет Apache Struts, так как данное решение удобно и признано специалистами как надежное. Об уязвимости стало известно в день опубликования новости, благодаря чему в тот же день, на основании рекомендаций вендора, были приняты все необходимые меры для полного предотвращения ее вредоносного воздействия на систему. В ходе данных действий процессингу Qiwi не был нанесен ущерб», — заявил Антон Куранда, директор по безопасности Qiwi.

Представители Альфа-банка на момент публикации этого материала не ответили на запрос CNews в отношении закрытия уязвимости в Apache Struts.

Предполагалось, что уязвимость будет устранена в версии 2.3.16.1, но введенных улучшений оказалось не достаточно. В итоге разработчики опубликовали на своем сайте инструкцию для временного устранения бреши, пока не выйдет новый патч. Она заключалась в редактировании файла struts.xml.

Обновление 2.3.16.1 было выпущено в начале марта, но лишь в конце апреля стало ясно, что оно не обеспечивает должный уровень защиты.

Тем, кто еще не успел обновиться до Apache Struts 2.3.16.2, аналитики рекомендуют сделать это безотлагательно.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 16:25

Атаки на сайты DDoS-атаки Малый и средний бизнес ГК «Солар»

ГК Солар фиксирует волну атак на сайты малого и среднего бизнеса

В преддверии летнего сезона специалисты сервиса Solar Space (ГК «Солар») фиксируют резкий рост кибератак на сайты санаториев, гостиниц, пансионатов, небольших туроператоров, а также фитнес-клубов и сервисов аренды свадебного декора.

Как отмечают в ГК «Солар», это отражает общую тенденцию увеличения количества атак на веб-ресурсы малого и среднего бизнеса. За ними могут стоять как политически мотивированные хактивисты, так и недобросовестные конкуренты.

С технической точки зрения атаки делятся на два основных типа. Первый — классические DDoS-атаки, цель которых — сделать сайт недоступным для пользователей. Второй — атаки с использованием ботов, создающих фиктивные бронирования и мешающих настоящим клиентам воспользоваться услугами.

Эксперты рекомендуют бизнесу как минимум обеспечить базовую защиту от DDoS и автоматизированной вредоносной активности. Также необходимо организовать постоянный мониторинг, чтобы своевременно оценивать нагрузку на сайт и оперативно реагировать на инциденты.

«Подобные атаки направлены как на нанесение ущерба пользователям, которые могут остаться без нужных услуг, так и на подрыв деятельности самих компаний, теряющих потенциальную прибыль. При этом злоумышленниками могут быть как идеологически мотивированные группы, так и хакеры, действующие по заказу конкурентов», — комментирует Артём Избаенков, директор платформы облачной киберзащиты Solar Space ГК «Солар».

В ПО российских банков найдена критическая уязвимость

Читайте также