Falha de segurança crítica deixa as empresas Fortune 100 vulneráveis

Falha de segurança crítica deixa as empresas Fortune 100 vulneráveis

A falha permite a execução remota de código em servidores que utilizam um complemento muito popular entre as empresas da lista Fortune 100.

A falha permite a execução remota de código em servidores que utilizam um complemento muito popular entre as empresas da lista Fortune 100.

As empresas que fazem parte da lista Fortune 100 podem estar susceptíveis a ciberataques, considerando que foi descoberta uma vulnerabilidade em um software de servidor muito utilizado entre elas, segundo afirmaram os pesquisadores de segurança.

A falha permite que cibercriminosos executem código de forma remota em servidores que utilizam o complemento REST da Apache Struts. O relato dos especialistas também destaca que todas as versões desde 2008 foram afetadas.

Devido à vulnerabilidade, os cibercriminosos facilmente podem obter o controle de um servidor afetado que utilize o popular framework Java MVC, obtendo acesso a dados altamente confidenciais.

A estimativa é que o problema tenha afetado a 65% das empresas da lista Fortune 100, incluindo organizações como Citigroup, Vodafone, Virgin Atlantic e vários sites governamentais dos Estados Unidos, como o Internal Revenue Service (IRS) e o Departamento de veículos motorizados.

o problema afeta a 65% das empresas da lista Fortune 100

Segundo os pesquisadores, o risco é bastante alto porque o framework em questão é utilizado para projetar e construir aplicativos web de acesso público.

Um dos pesquisadores de segurança que descobriu a vulnerabilidade, Man Yue Mo, se deu conta da gravidade do problema: “Struts é utilizado em vários sistemas de reservas de companhias aéreas, assim como em várias instituições financeiras que o utilizam em aplicativos bancários na Internet. Além disso, é incrivelmente fácil para um cibercriminoso explorar esta falha: basta um navegador web”.

Na terça-feira, Struts lançou um patche completo garantindo que seria efetivo para corrigir a vulnerabilidade, e está orientando aos usuários para atualizarem à última versão (2.5.13) imediatamente. A empresa identificou este patche como crítico, considerando que a atualização se refere a um “possível ataque de execução remota de código quando o complemento Struts REST é utilizado com o controlador XStream para administrar cargas XML”.

Os pesquisadores desenvolveram um exploit, mas não o liberaram, com o objetivo de dar às empresas que usam o software tempo para patchear os sistemas. Atualmente, não se sabe se alguma empresa foi afetada pela vulnerabilidade, mas, naturalmente, se recomenda que os sistemas sejam atualizados o mais rápido possível.

Leia também: Ataques à vulnerabilidade do Apache Struts ocorrem no Brasil

Discussão