CCN-CERT IA-22-17 Medidas - Seguridad - Vulnerabilidad - Struts
CCN-CERT IA-22-17 Medidas - Seguridad - Vulnerabilidad - Struts
CCN-CERT IA-22-17 Medidas - Seguridad - Vulnerabilidad - Struts
Informe de Amenazas
CCN-CERT IA-22/17
MEDIDAS DE SEGURIDAD
Vulnerabilidad de Struts
(CVE-2017-9805)
Septiembre 2017
SIN CLASIFICAR
SIN CLASIFICAR
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando
expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún
caso, el Centro Criptológico Nacional puede ser considerado responsable del daño directo, indirecto,
fortuito o extraordinario derivado de la utilización de la información y software que se indican incluso
cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier
medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de
ejemplares del mismo mediante alquiler o préstamo públicos.
SIN CLASIFICAR
SIN CLASIFICAR
ÍNDICE
1. SOBRE CCN-CERT .............................................................................................................. 4
2. INTRODUCCIÓN ................................................................................................................. 5
4. DETECCIÓN ........................................................................................................................ 6
5. RECOMENDACIONES ........................................................................................................ 6
6. REFERENCIAS ...................................................................................................................... 8
SIN CLASIFICAR
SIN CLASIFICAR
1. SOBRE CCN-CERT
El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a Incidentes de
Seguridad de la Información del Centro Criptológico Nacional, CCN (www.ccn.cni.es).
Este servicio se creó en el año 2006 como el CERT Gubernamental/Nacional español y sus
funciones quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de
Inteligencia, el RD 421/2004 regulador del CCN y en el RD 3/2010, de 8 de enero, regulador
del Esquema Nacional de Seguridad (ENS), modificado por el RD 951/2015 de 23 de
octubre.
SIN CLASIFICAR
SIN CLASIFICAR
2. INTRODUCCIÓN
Struts es una herramienta de soporte para el desarrollo de aplicaciones Web que
sigue el patrón MVC (Modelo Vista Controlador) bajo la plataforma Java EE (Java
Enterprise Edition), que se instala sobre un servidor Apache. Struts se desarrollaba como
parte del proyecto Jakarta de la Apache Software Foundation, pero actualmente es un
proyecto conocido como Apache Struts.
3. MEDIDAS PALIATIVAS
Para solucionar la vulnerabilidad basta con actualizar Apache Struts a la versión
2.3.34 ó 2.5.13. Como primera medida, de manera más inmediata, se puede realizar lo
siguiente:
Se recomienda consultar la web del fabricante [Ref. 1] para obtener más detalles
sobre esta vulnerabilidad.
SIN CLASIFICAR
SIN CLASIFICAR
4. DETECCIÓN
Si su sistema ha sido víctima de un ataque utilizando esta vulnerabilidad, puede
realizar las siguientes acciones para intentar identificar las acciones realizadas por el
atacante:
1. Revisar el uso del usuario root del sistema en los días del ataque.
4. Revisar los accesos del usuario que ejecuta la página web con Struts. Revisar si se
han creado ficheros, carpetas, o procesos con dicho usuario.
6. Revisar las conexiones salientes desde los equipos atacados, conexiones SSH,
conexión por FTP/SFTP, conexiones a servicios de almacenamiento en la nube
como Dropbox, Google Drive…
9. Revisar si se han creado páginas web en el servidor fuera del uso normal del
servidor, por si se han generado webshells.
5. RECOMENDACIONES
Para prevenir futuros ataques de este tipo se recomienda realizar las siguientes
acciones:
- Limitar los privilegios del usuario que ejecuta la página web con Apache Struts,
permitiendo únicamente el acceso a los ficheros que se ubiquen dentro del
SIN CLASIFICAR
SIN CLASIFICAR
SIN CLASIFICAR
SIN CLASIFICAR
6. REFERENCIAS
[Ref. 1] Información sobre la vulnerabilidad CVE-2017-9805
https://cwiki.apache.org/confluence/display/WW/S2-052
SIN CLASIFICAR