Prezados, boa tarde.
Uma vulnerabilidade crítica identificada no Apache Struts, catalogada como CVE-2024-53677, com CVSS 9.5, está sendo ativamente explorada, representando um risco significativo para sistemas que utilizam essa estrutura amplamente adotada no desenvolvimento de aplicações web em Java. A falha atinge da versão 2.0.0 até a anterior à versão 6.4.0 e reside no componente responsável pelo upload de arquivos, permitindo que invasores executem comandos remotamente nos servidores afetados.
Embora o uso do Apache Struts tenha diminuído, muitas organizações ainda dependem de sistemas legados que utilizam o Struts 2, tornando-se especialmente suscetíveis a essa falha, que pode comprometer totalmente os sistemas atingidos.
A Apache anunciou que o FileUploadInterceptor foi descontinuado a partir da versão 6.4.0 e removido na versão 7.0.0 do Struts. Para mitigar os riscos, é essencial atualizar para a versão 6.4.0 ou superior e migrar para o novo mecanismo de upload de arquivos, ActionFileUploadInterceptor, que corrige a vulnerabilidade. A versão mais recente, Struts 7.0.0, inclui a remoção completa do FileUploadInterceptor e outras melhorias de segurança. O download pode ser feito por meio deste link: https://struts.apache.org/download.cgi#struts-ga.
Seguem algumas recomendações de mitigação:
- Atualização imediata: atualize o Apache Struts para a versão 7.0.0 e assegure-se de migrar para o novo mecanismo de upload de arquivos conforme as orientações fornecidas pela Apache Software Foundation.
- Auditoria de sistemas: realize uma auditoria completa para identificar todas as aplicações que utilizam o Apache Struts, especialmente aquelas em versões anteriores à 7.0.0, garantindo que todas sejam atualizadas adequadamente.
- Monitoramento contínuo: implemente monitoramento contínuo para detectar atividades suspeitas ou tentativas de exploração relacionadas a essa vulnerabilidade, permitindo respostas rápidas a possíveis incidentes.
- Testes de segurança: conduza testes de penetração e avaliações de segurança em suas aplicações para identificar e mitigar outras possíveis vulnerabilidades.
- Treinamento de equipes: garanta que as equipes de desenvolvimento e operações estejam cientes dessa vulnerabilidade e das medidas necessárias para mitigá-la, promovendo a adoção de práticas de segurança no ciclo de vida do desenvolvimento de software.
A SEK se mantém à disposição para fornecer suporte adicional e esclarecer quaisquer dúvidas relacionadas a esta vulnerabilidade.